私はモジュールに取り組んでいます。
モジュールが有効になっている場合は、さまざまなコンテンツタイプのフィールド構造を示す概要ページが表示されます。次に、訪問者はボタンをクリックしてバンドルのフィールド構造(JSONエンコード)のコピーを取得し、コードを使用してサイトにそのコンテンツタイプを作成できます。基本的に、ダウンロードではなくコピーアンドペースト以外の機能と同じです。
潜在的なセキュリティ問題は何でしょうか?ホスティングサイト(コンテンツタイプのコピー元のサイト)が悪意のあることを実行できないようにする方法はありますか?
この機能を誰に公開しますか?
http://drupal.org/security-advisory-policy にリストされている権限のいずれかを持つユーザーの場合、これらのユーザーはすでに多くのことを実行できるため、セキュリティへの影響について心配する必要はありません。サイトへの悪意のあるもの。
すべてのフィールド名とフィールド値はすでに適切にフィルタリングされている必要があり、 Drupalは出力でフィルタリングを処理します なので、インポート中にxssフィルターのようなものは必要ないと思います。
コードを表す方法としてPHP配列の代わりにJSONを使用したいという事実は素晴らしいようです:コピー/貼り付けPHP配列は簡単です任意のコード実行問題を作成する方法。
この機能を提供する安全な方法については、 ビューキューの問題 でさらに議論されています。
これがあなたの質問に答えないならば、コメントを残してください、そして、私は拡大するために最善を尽くします。
私はあなたがホスティングサイトに何があるかを本当に確信することは決してできないと思います、そしてそれが信頼できないと仮定するべきです。
テキストがユーザーに表示される場所であればどこでも、悪意のあるコンテンツを表示するために使用できます。
バンドル配列は既知の構造であるため、ユーザーに表示されるフィールドを推測し、インポート時に xxsフィルター を適用できるはずです。
(たとえば)既知のフィールド名を再使用することでセキュリティをバイパスする可能性もあるため、これを防ぐために配列内の項目に名前を付けることはおそらく価値があります。
したがって、たとえば、フィールドがfirst_name
として参照されている場合、これをimportXXX_first_name
に変換することができます。