将HTML存储在DB sane/safe上是否对博客安全?
我计划用所见即所得编辑器创建一个博客ish(虽然博客不够多,不值得一个CMS/Wordpress实例)平台,使管理员能够发布文章。我一直在想,在数据库中存储HTML(对于文章文本)是否合理和/或安全(我总是可以清除所有脚本标记的痕迹),是否有更好的解决方案将HTML存储在DB sane/safe上是否对博客安全?,html,database,blogs,Html,Database,Blogs,我计划用所见即所得编辑器创建一个博客ish(虽然博客不够多,不值得一个CMS/Wordpress实例)平台,使管理员能够发布文章。我一直在想,在数据库中存储HTML(对于文章文本)是否合理和/或安全(我总是可以清除所有脚本标记的痕迹),是否有更好的解决方案 别误会我的意思:我知道它是有效的,但我有一种灼热的感觉,必须有一个更好的解决办法,我不知道。当然。您可以将其存储在文件系统中,但这样就失去了数据库的优势(如使用其他内容进行单个备份,或级联删除) 您需要在存储HTML之前对其进行清理,因为它可
别误会我的意思:我知道它是有效的,但我有一种灼热的感觉,必须有一个更好的解决办法,我不知道。当然。您可以将其存储在文件系统中,但这样就失去了数据库的优势(如使用其他内容进行单个备份,或级联删除) 您需要在存储HTML之前对其进行清理,因为它可能包含XSS。您不希望意外地在管理界面中返回它 在Java中,您可以使用Hibernate Validator的@SafeHtml注释/JSoup库进行清理 您还应该在输出HTML之前转义服务器上的HTML,这样就不会在浏览器中运行不安全的JavaScript 此外:
- 仅使用HTTP会话cookie(以便XSS攻击无法使用它们)
- X-XSS-Protection=1;模式=块
- X-Content-Security-Policy=默认src“self”
- 内容安全策略=默认src“self”
- X-WebKit-CSP=默认src“self”
- 使用X-Content-Type-Options=nosniff头(我想)
WordPresshtml