Javascript 允许他人使用是否有危险<；脚本>；论坛帖子中的标签？

我们想让人们有时在论坛帖子中嵌入一些小部件。但出于安全考虑，我们一直在剥离脚本标记，尽管我们并不真正知道这些担心是什么

这里有无数有用的小部件，我们不介意人们将它们添加到帖子中，但我们不想破坏我们的系统，或允许特洛伊木马等

现在人们怎么想？我们不允许脚本标记的做法被认为是最佳做法吗

谢谢

---

道格有多危险？非常允许人们在帖子中嵌入标签是一种公开邀请。

允许用户在页面中嵌入他们自己的（不受信任的）JavaScript逻辑通常是不可取的，特别是如果您要将这些信息存储在数据库中并允许其他人访问它。向用户开放嵌入的

标记是XSS攻击的常见来源，也称为跨站点脚本攻击。你应该查看这个以了解更多信息

跨站点脚本攻击采取恶意JS代码的形式，由第三方嵌入到您的页面中，目的是劫持您站点的某些部分。例如，假设一个用户嵌入了一个脚本，该脚本在您的站点上创建了一个小部件（假设它是一个天气小部件），但当用户单击某一天的天气时，他们会被重定向到恶意站点

---

如果您觉得您只是<强> >必须/允许强，允许您的用户使用此功能，考虑从可信方（即WordPress、谷歌、推特）创建小部件的白名单，并允许用户从您的白名单窗口中选择。这为您提供了对生产环境的必要控制，同时为您的网站提供了更丰富的内容。

简而言之，决不允许用户自由输入

标签。谢谢。我所怀疑的，也谢谢你。既然你们都是对的，我该把正确的答案归功于谁呢