Одной из особенностей моего приложения является разрешение пользователю добавлять свою кнопку facebook или twitter в свой профиль.
«Очевидный» подход — дать им поле text_area, попросить их вставить «код» facebook или twitter, а затем в их профиле отобразить raw fbk_button_field
и raw twitter_button_field
(Facebook — это iframe, а twitter — это ссылка на удаленный ajax).
Но очевидно, что пользователь может вставить что угодно в это поле, и я предполагаю, что это довольно плохая вещь, которая оставляет систему открытой для множества эксплойтов.
Так как же правильно разрешить пользователям добавлять «социальные кнопки» в свой профиль, не имея возможности вместо этого вставить эксплойт?