私はこれが一般的な要件であると確信しています。私はちょっと新しいので、何を検索するのか分かりません。これが重複している場合は、私に正しい方向を指摘してください。ウェブサイトの特定の領域/一部の内部でjavascriptを無効にする方法はありますか?
私たちはウェブサイト上にカスタマイズ可能な領域を持っており、タグやCSSを入れてその領域の外観を変更することができます。人々は悪意のあるjsコードをそこに置くことがあることを慎重に考えています。
私たちは、これらの分野でJavaスクリプトを無効にする方法を考えていました。
これにはベストプラクティスがありますか?それを行うための正しいアプローチですか?
はい、これは一般的な要件です。 あなたがユーザーから受け取ったHTMLとCSSにはJavaScriptが含まれていないこと、またはJavaScriptを無差別に読み込むことがないことを確認する必要があります。これは簡単なことではないので、HTMLサニタイザ(とCSSサニタイザ)がそれに対応するツールがあります。これらは、特定のタグと属性を許可し、他のタグと属性(および属性の値の制限)を許可するためのホワイトリストを与える適切なフルオンのHTMLとCSSパーサです。
サニタイザーはサーバー側を実行し、ユーザー提供のコンテンツが他のユーザーに表示される前に消毒されていることを確認する必要があります。 ですからなど、そのような.NETのHTML敏捷性パックとして、サーバー側の環境のための適切なツールを見つけるために、Java用OWASPアンチサミーが必要になります
自然本能は領収書でそれを浄化することですが、ちょうどレシート上の浄化は十分ではありません、あなたのルールに欠陥がある場合は、保存したすべてを再浄化しなければならないか、領収書を両方とも消毒する必要がありますおよび配達。
何をしようとしていますか。 –
[サーバー障害](http://serverfault.com/)でこの質問をしますか? – Tibrogargan
[サンドボックスJavaScriptが実行可能かどうかブラウザ?](http://stackoverflow.com/questions/195149/is-it-possible-to-sandbox-javascript-running-in-the-browser) –