>这完全是疯了吗?
>是否有任何Javascript清理程序脚本或良好的正则表达式模式来扫描警报,iframe,远程脚本包括和其他恶意Javascript?
>是否应该手动授权此过程(由人检查Javascript)?
>允许用户仅使用框架(如jQuery)而不是让他们访问实际的Javascript更合理吗?这样可以更容易监控.
谢谢
解决方法
1. Is this completely insane?
不要这么想,而是靠近.让我们来看看.
2. Are there any Javascript sanitizer scripts or good regex patterns out there to scan for alerts,iframes,remote script includes and other malicIoUs Javascript?
是的,至少有Google Caja和ADSafe来清理代码,允许它被沙箱化.不过,我不知道他们提供的最值得信赖的程度.
3. Should this process be manually authorized (by a human checking the Javascript)?
沙箱可能会失败,因此这将是一个明智的解决方案,具体取决于被恶意(或错误)代码攻击的风险和权衡.
4. Would it be more sensible to allow users to only use a framework (like jQuery) rather than giving them access to actual Javascript? This way it might be easier to monitor.
JQuery只是简单的Javascript,所以如果你试图保护免受攻击,它根本无济于事.
如果防止这种攻击至关重要,您可以实现自定义语言,在后端解析并生成受控制的安全javascript;或者您可以考虑另一种策略,例如提供API并从应用的第三方组件访问它.
