У нас есть расширение OpenSource. Подобно Greasemonkey, которое используется только в Firefox. Пользователи могут отправлять сценарии (Java) для других пользователей для запуска. Этому злоупотребляют путем отправки вредоносного кода.
Мы хотим грубый аутсокс в будущем с script представленным кодом.
Мы не разрешаем или хотим продолжить исследование:
- выполнение запросов страницы
- попытки обфускации
Мы уже фильтруем:
- btoa
- eval
- окно.
- регулярное выражение для URL-адреса /^(http|https|ftp)://([A-Z0-9][A-Z0-9_-]*(?:.[A-Z0-9][A-Z0-9_-]*) +):??? (\ d +)//я
- приведенное выше регулярное выражение url настроено на escape, encode, encodeURI, encodeURIComponent v.versa
Что может помочь:
- другие возможные неправильные шаблоны и функции
- регулярное выражение для фильтрации для попыток обфускации
Спасибо за ваши идеи!
EDIT:
Я думаю, это так. Спасибо каждому вкладчику! Было бы желательно, если бы найти широко действующее регулярное выражение для фильтрации обернутого кода уже.