我正在构建一个在设计模式下包含IFrame的Web应用程序，以便我的用户可以"提示"其内容并粘贴要在其页面上显示的内容。就像大多数博客引擎或者论坛上的所见即所得(WYSIWYG)编辑器一样。

我试图考虑我需要填补的所有潜在安全漏洞，其中之一是用户粘贴Javascript：

<script type="text/javascript">

// Do some nasty stuff

</script>

现在我知道我可以在保存和/或者提供服务之前在服务器端删除它，但是我担心有人可能粘贴一些脚本并在那里然后运行它，甚至没有发送它返回到服务器进行处理。

我有什么担心的吗？

任何建议都很好，在Google搜索中找不到很多建议。

安东尼

解决方案

回答

正如Jason所说，我将更加专注于清理服务器端的数据。除非我们使用Silverlight / Flex，否则我们实际上在客户端没有任何实际控制权，即使如此，我们仍然需要检查服务器。

就是说，这里有一些" A List Apart"中的技巧，我们可能会发现有关服务器端数据清理的帮助。

http://www.alistapart.com/articles/secureyourcode

回答

...I'm worried about the possibility of someone being able to paste some script in and run it there and then, without even sending it back to the server for processing.  
  
  Am I worrying over nothing?

Firefox有一个名为Greasemonkey的插件，它允许用户对加载到其浏览器中的任何页面任意运行JavaScript，我们对此无能为力。 Firebug允许我们修改网页以及运行任意JavaScript。

AFAIK，我们真的只需要担心一旦它到达服务器，然后可能击中其他用户。