EricGT
(EricGT)
1
在帮助另一位管理员时,我给出了以下建议,但不确定是否完全正确。请熟悉此内容的朋友帮忙审阅,并告知是否有错误。
上下文是使用主题预览按钮的情况。
由于主题只是 CSS 和 JavaScript,它们在 SQL 查询返回帖子文本后运行,且不会更新数据库,据我所知这完全安全。最坏的情况,你最多只会搞乱你正在预览的单个 HTML 页面。
sam
(Sam Saffron)
2
不幸的是,主题并非 100% 安全。预览将在管理员账户的上下文中运行,它可以向各种路由发起 AJAX 请求。
恶意人员利用主题可能造成相当大的损害。虽然查看源代码会非常明显,但从技术上讲这是完全可能的。
EricGT
(EricGT)
3
谢谢,
我本应在上下文中注明,他正在将 帖子中的单词链接化 插件适配到 Prolog 参考手册,以便当使用 谓词指示符([module:]name{/|//}arity?)时,能直接链接到对应的谓词,例如 append/3。
我并未看到他添加恶意的 AJAX 调用,但了解这一点,在下载他人创建的主题时多加留意总是好的。
有关该组件开发的沟通内容,感兴趣的读者可查阅公开的 帖子。