防止託管CMS上的XSS/JS攻擊

Question

我正在使用託管CMS，並且正在考慮允許站點編輯器添加自定義JavaScript和html（一個很多要求的功能）。

我擔心這會打開一個攻擊媒介 - 令人討厭的js可能會調用我們託管的CMS公開的函數（請參見Samy worm以獲取用戶腳本對myspace執行的操作的示例），但我真的很想讓用戶控制他們的網站（CMS有什麼意義，你不能自己添加聰明的東西？）

什麼是解決這個問題的好方法？我可以想到幾個我想要評論的內容，但不會因爲擔心'沒有列出問題的mod'而列出它們！

Answer 1

我懷疑Caja在你的名單上，所以我會提到這在Caja的用例中是正確的;例如，Google Sites非常像CMS，並使用Caja嵌入任意的JS和HTML。

Caja主機頁面可以提供沙盒內容使用的任意其他接口，可以包括，例如，在用戶提供的HTML內嵌入由您的CMS提供的小部件，同時保持封裝。

（披露：我在Caja團隊的Google上工作。）