我正在一家商店,我希望允许用户上载自定义html / js / css网站以与他们的产品一起展示。
我应该寻找什么安全问题?
围绕DHTML的两个最大问题是:
CSS文件是安全的
。html和.js文件不安全。您可以通过坚持自己的Content-Security-Policy来确保.html文件的安全:关闭内联脚本和样式,仅允许它们使用经过审查的库。 .js文件需要亲自检查以确保它们安全。
我的建议是,与其让他们更新html和js文件,不如提供一个可以在线归档并可以将其内容存储在数据库中的模板,将更为安全。