Javascript 沙箱保护允许用户上传样式的网站
许多像Tumblr、Posterous这样的网站允许用户上传自己的风格。个人风格可能包含HTML、Javascript和服务器代码。所以我的问题是Javascript 沙箱保护允许用户上传样式的网站,javascript,security,sandbox,Javascript,Security,Sandbox,许多像Tumblr、Posterous这样的网站允许用户上传自己的风格。个人风格可能包含HTML、Javascript和服务器代码。所以我的问题是 如何防止用户上传恶意服务器代码 如何防止用户上传恶意客户端代码(Javascript) 我相当了解如何通过限制要使用的函数集来解决(1)。我更关心(2),因为很难过滤坏代码。这些样式可能包含恶意代码,将用户会话发送到某些外部源,然后伪造其身份。我注意到上传的样式不在外部框架中,所以窃取用户会话似乎是一个明显的问题 有人对上述问题有更好的了解吗 不允许