Javascript 允许用户向网站添加内容的安全漏洞';s头
在我的应用程序中,我让注册用户创建他们自己的个人网站,我想让他们在网站标题中添加分析代码。我知道让他们添加自己的内容有风险,所以我只允许他们添加谷歌分析代码Javascript 允许用户向网站添加内容的安全漏洞';s头,javascript,security,google-analytics,Javascript,Security,Google Analytics,在我的应用程序中,我让注册用户创建他们自己的个人网站,我想让他们在网站标题中添加分析代码。我知道让他们添加自己的内容有风险,所以我只允许他们添加谷歌分析代码 如果我让他们在网站的标题中输入自己的JavaScript,会发生什么更糟糕的事情 我怎样才能限制只添加Google分析代码 不要让他们添加整个JavaScript。您可以添加JavaScript并让他们设置他们的Google Analytics ID,您可以验证该ID是否具有正确的格式。这样一来,他们就不能在你的网站上添加任何代码,你也可以
不要让他们添加整个JavaScript。您可以添加JavaScript并让他们设置他们的Google Analytics ID,您可以验证该ID是否具有正确的格式。这样一来,他们就不能在你的网站上添加任何代码,你也可以很容易地剔除不好的值
^UA-\d+-\d+$
来验证UA ID你是说UA id?这些信息足以创建谷歌分析代码吗?是的。如果你想让他们添加功能,你可以让他们选择他们想要的功能,然后自己添加代码。例如跟踪页面加载速度。请记住清理输入。否则,他们可以插入以下id。
UA-XXXX-X';邪恶()//代码>。确保他们只插入GA帐号格式的数字。帐户id字符串应与正则表达式匹配:^UA-\d+-\d+$
我想你的意思是\AUA-\d+-\d+\z
。否则,可以注入换行符和任意javascript。千万不要让一个不受信任的用户让你的网站提供他们的任意脚本。几年前,一个用户就知道如何将javascript代码注入MySpace页面。有史以来最快的蠕虫。