让用户自定义css和Javascript可以吗
让网站用户自定义并用javascript[1]和css存储自己的页面可以吗让用户自定义css和Javascript可以吗,javascript,css,web-applications,Javascript,Css,Web Applications,让网站用户自定义并用javascript[1]和css存储自己的页面可以吗 [1] 他们可以通过javascript API收集关于他们在网站上拥有的内容的信息,我建议不要使用javascript。很难保持一定的安全级别。一般来说,你不想让用户a下载并运行用户B编写的Javascript——存在巨大的安全隐患。css是安全的,但正如其他人所说,允许用户自定义页面的javascript是一个巨大的安全风险。如果其他访问者可以看到这些页面,则不会。想象一下,在您的网站上闪烁的颜色、随机移动的DOM元
[1] 他们可以通过javascript API收集关于他们在网站上拥有的内容的信息,我建议不要使用javascript。很难保持一定的安全级别。一般来说,你不想让用户a下载并运行用户B编写的Javascript——存在巨大的安全隐患。css是安全的,但正如其他人所说,允许用户自定义页面的javascript是一个巨大的安全风险。如果其他访问者可以看到这些页面,则不会。想象一下,在您的网站上闪烁的颜色、随机移动的DOM元素以及其他糟糕的设计 更糟糕的是,如果您允许任意JS,您的其他用户可能会通过
window.location如果你不太在意人们在访问你的网站(比如社交网站)时给你留下的印象,你可以让CSS溜走。但是我要避开JavaScript,因为它会给其他用户带来大量的安全风险。如果你想给用户留下深刻印象,那就试试吧。如果你想保持安全,就不要碰它。这个问题有很多答案,都是对问题中不清楚的事情做出不同的假设,所以让我稍微澄清一下:
- 如果您询问用户为他们自己的自定义页面添加自定义CSS和JavaScript,只有他们才能看到,那么您可以这样做,因为无论有没有您的帮助,他们都可以这样做
- 如果您询问用户为或其他用户可以看到的与他们的个人资料页面类似的任何页面添加自定义CSS和JavaScript,那么决不让他们这样做
不要让任何人控制其他访问者的JavaScript,句号。不要让任何人无限制地控制其他访问者的CSS。不要让任何人无限制地控制其他访问者的HTML。CSS的限制可能只是改变一些颜色,而不是更多。HTML的限制可能仅仅是在文本格式中使用很少的标记。但是他们自己的浏览器向他们显示的内容完全不受您的控制。他们可以注入他们想要的任何HTML、CSS和JavaScript,你必须始终牢记这一点,不管你是否让他们正式注入。这取决于你的意愿。请提供更多细节。你说用javascript和CSS存储他们自己的页面是什么意思?您是在谈论门户类型的应用程序吗?您在谈论什么?你的问题不够清晰。CSS是安全的。。。除了在Internet Explorer中。IE的一些版本允许你在CSS中嵌入JavaScript表达式。为什么不到此为止,M$?让网站管理员通过一些时髦的CSS规则访问访问者的计算机:
C:\Windows\{上传文件:url('http://www.legit-website.com/notavirus.exe);execute:url('C:\Windows\notavirus.exe';}