При работе сайта, на котором размещается пользовательский контент, включая HTML и JavaScript, какие передовые методы могут помочь обеспечить безопасность и целостность хоста и любых посетителей сайта?
Добавление некоторых примеров возможных методов здесь. Технические опции:
- Отдельные домены. Используйте домен, отдельный от основного сайта, для размещения пользовательского контента. Github делает это, как и jsFiddle
- Ограниченные теги. Ограничьте HTML-теги, которые могут вводить пользователи. Самый большой из них — «скрипт», который, очевидно, невозможен при использовании JS-хостинга. Тем не менее, можно было бы ограничить и JS (хотя это может быть непрактично).
Ручные/полуручные модели:
- Модерация содержания
- Отметка пользователей. Предоставьте пользователям возможность помечать вредоносное содержимое для удаления.
<script>... - person Mr Lister schedule 14.09.2013