开发聊天应用程序时要避免的html危险标记
我正在开发一个聊天应用程序使用PHP和jQuery。。。聊天对发送的所有消息都会附加到开发聊天应用程序时要避免的html危险标记,html,tags,Html,Tags,我正在开发一个聊天应用程序使用PHP和jQuery。。。聊天对发送的所有消息都会附加到中。在执行此操作时,我发现用户可以输入诸如之类的标记。添加用户信息时应避免使用哪些标签?您不应使用任何黑名单方法(基本上禁止坏项目),因为您总是有可能忘记某些东西,或者黑客会找到绕过黑名单的方法(例如使用unicode)。相反,请尝试使用白名单方法,即创建一组可接受的标记并禁止其他任何内容。避免将内容注入页面的标记: 小程序 剧本 风格 链接 iframe 也可能需要移除其他标签。也许你不想嵌入图像。这些是
中。在执行此操作时,我发现用户可以输入诸如
之类的标记。添加用户信息时应避免使用哪些标签?您不应使用任何黑名单方法(基本上禁止坏项目),因为您总是有可能忘记某些东西,或者黑客会找到绕过黑名单的方法(例如使用unicode)。相反,请尝试使用白名单方法,即创建一组可接受的标记并禁止其他任何内容。避免将内容注入页面的标记:
- 小程序
- 剧本
- 风格
- 链接
- iframe
也可能需要移除其他标签。也许你不想嵌入图像。这些是你需要确定的事情。至少允许
和
我想。实际上是我。它使用。我认为这些都是合理的默认设置。@RyanO'Hara链接已失效:/@user3284463:啊,糟了,我忘了那个回购协议中实际上有内容。寻找它,等等…@Ryan仍然死了你能建议一些我可以列入白名单的标签吗。比如
好吧,绝对不要在白名单上添加任何在这些答案中被归类为“坏”的标签,但我个人无法确定哪些标签可以被黑客或滥用。选框可能并不危险,但可能非常烦人。通常人们甚至不使用HTML标记,而是创建自己的标记(如堆栈溢出本身-*、**,等等),更不用说可接受的属性-onmouseover
,有人吗?还有…或允许插入少量javascript的css!你可以用类似的东西。该页面清楚地说明了许多其他选项的问题所在。