사용자가 페이지에서 JavaScript를 입력하고 다른 사용자와 공유하도록 허용 하시겠습니까?

Question

사용자가 웹 페이지에서 JavaScript를 입력하고 해당 페이지를 다른 사용자와 공유하도록 허용 할 생각입니다. 일어날 수있는 최악의 상황은 무엇입니까? 내가 그것을 '안전하게'만들 수있는 방법이 있습니까?

Answer 1

다른 사람이 언급했듯이 자바 스크립트가 다른 사용자에게만 표시되고 실행되지 않으면 완벽하게 안전합니다 (코드를 수동으로 실행하는 사용자를 고려하지 않음).

그러나 코드가 실행되면 몇 가지 나쁜 일이 발생할 수 있습니다. 발생할 수있는 한 가지 나쁜 점은 사이트가 소위 puppetnet을 형성하는 데 사용된다는 것입니다. 퍼펫 넷은 봇넷과 비슷하지만 대신 브라우저를 사용하므로 단일 인형은 상대적으로 수명이 짧습니다 (인형과 봇넷을 구별합니다). 퍼핏 넷은 분산 서비스 거부 공격, 웜 전파, 스팸 및 기타 등등에 사용될 수 있습니다.

인형에 대한 자세한 내용은 http://www.cs.ucsd.edu/groups/sysnet/miscpapers/puppetnets-ccs06.pdf에서 확인할 수 있습니다.

Answer 2

에 달려 있습니다. 자바 스크립트를 텍스트 상자에 배치하면 텍스트 일 ​​뿐이며 텍스트를 공유 할 수 있습니다. 여기에서 그 작업을 수행합니다. 정비사가 .js 파일에 텍스트를 저장하고 페이지에 자동으로 첨부하면 심각한 문제가 발생할 수 있습니다. 더 많은 설명이 여기 좋을 수도 있습니다.

Answer 3

일어날 수있는 일은 이름이 - Cross Site Scripting입니다. 기본적으로 (악의적 인) Mallory가 다른 (희생 된) 사용자 인 Alice의 컨텍스트에서 코드를 실행하도록 허용합니다.

Here은 ASP.Net에서 일어나는 것을 방지하기위한 종이입니다.

js 스 니펫의 동작이 아닌 콘텐츠를 공유하려는 경우 이는 다른 이야기입니다. 이 경우 Mallory가 게시 한 코드가 포함 된 Alice에 응답을 보내면 구문 ​​분석 및 실행되지 않는 텍스트로 적절하게 묶여 있는지 확인해야합니다.

Here's은이 문제점이 갖고있는 많은 왜곡을 통과하는 또 다른 논문입니다.