需要:灵活但安全的用户HTML嵌入技术
我们的软件管理图书馆、博物馆、档案馆等。我们希望让用户,即编目员,而不是访问者添加一些嵌入式内容,如谷歌地图、YouTube视频等。我们希望解决方案尽可能灵活,因为每个嵌入式内容提供商都有自己的格式。OTOH,我们不允许用户输入原始HTML,因为这将带来XSS安全风险,并且错误的HTML可能会破坏我们周围的网页 我今天开始搜索谷歌地图,但找不到一种处理方法。我不想让用户只是将嵌入的HTML片段复制到一个项目中;我不能嵌入提供的链接URL,因为谷歌不允许;我不能让用户指定坐标,因为我不想使用GoogleMapsJSAPI,这意味着提供我们必须维护的内置解决方案 本书中的问题并不是关于谷歌地图的,但谷歌地图很有代表性。我很想听听关于灵活但安全的HTML嵌入技术的建议 谢谢,需要:灵活但安全的用户HTML嵌入技术,html,Html,我们的软件管理图书馆、博物馆、档案馆等。我们希望让用户,即编目员,而不是访问者添加一些嵌入式内容,如谷歌地图、YouTube视频等。我们希望解决方案尽可能灵活,因为每个嵌入式内容提供商都有自己的格式。OTOH,我们不允许用户输入原始HTML,因为这将带来XSS安全风险,并且错误的HTML可能会破坏我们周围的网页 我今天开始搜索谷歌地图,但找不到一种处理方法。我不想让用户只是将嵌入的HTML片段复制到一个项目中;我不能嵌入提供的链接URL,因为谷歌不允许;我不能让用户指定坐标,因为我不想使用Goo
Eranmarkdown或其他用于标记的轻量级标记语言;用于嵌入允许的代码片段的自定义宏就像在wordpress.com上嵌入youtube视频一样markdown或其他用于标记的轻量级标记语言;用于嵌入允许的代码片段的自定义宏在wordpress.com上嵌入youtube视频是否适用 卡哈是虚拟的 iframes:它允许您将 不受信任的第三方HTML和 页面中的JavaScript内联和 还是安全的。卡贾 对代码的功能进行更严格的控制: 没有重定向到网络钓鱼页面:不受信任的代码所拥有的窗口对象是由包含页面创建的假窗口对象 无恶意软件:对URL的所有请求都是代理的 无XSS:动态HTML清理 允许不受信任的代码比安全地赋予iFrame中当前代码更多的权限。以下是一些可能性: 浮动帧信息窗口 框架不必是矩形的 帧可以在没有当前笨拙协议的情况下进行通信 读者可以广播有关当前文章的地理信息;地图小工具跳转到该位置,而新闻小工具获取本地故事,天气小工具调出天气 财务信息或娱乐信息也类似 一个可扩展的语法highlighter可以有插件,可以标记文本,但不会将内容泄漏到另一个网站 可以是位通道只能发送信息,也可以是码通道可以发送功能 托管页面可以控制谁与谁对话 对你有用吗 卡哈是虚拟的 iframes:它允许您将 不受信任的第三方HTML和 页面中的JavaScript内联和 还是安全的。卡贾 对代码的功能进行更严格的控制: 没有重定向到网络钓鱼页面:不受信任的代码所拥有的窗口对象是由包含页面创建的假窗口对象 无恶意软件:对URL的所有请求都是代理的 无XSS:动态HTML清理 允许不受信任的代码比安全地赋予iFrame中当前代码更多的权限。以下是一些可能性: 浮动帧信息窗口 框架不必是矩形的 帧可以在没有当前笨拙协议的情况下进行通信 读者可以广播有关当前文章的地理信息;地图小工具跳转到该位置,而新闻小工具获取本地故事,天气小工具调出天气 财务信息或娱乐信息也类似 一个可扩展的语法highlighter可以有插件,可以标记文本,但不会将内容泄漏到另一个网站 可以是位通道只能发送信息,也可以是码通道可以发送功能 托管页面可以控制谁与谁对话
谢谢,我不知道!然而,尽管据说MySpace和雅虎正在使用它,但它似乎还没有准备好广泛使用。此外,我尝试在谷歌地图的演示小程序中运行谷歌地图,但无法使其正常工作。我可能错过了一些东西,但它真的有效率吗?谢谢,我没有意识到!然而,尽管据说MySpace和雅虎正在使用它,但它似乎还没有准备好广泛使用。此外,我尝试在谷歌地图的演示小程序中运行谷歌地图,但无法使其正常工作。我可能错过了一些东西,但它真的有成效吗?