Javascript 允许用户将HTML保存到数据库是否安全?
我有一个网站,我的客户可以使用它让他们的客户在线注册(这是日托注册)。因此,我提供了此在线注册表,并允许我的客户自定义“谢谢”消息,该消息在注册完成后显示 允许我的客户使用HTML格式化他们的感谢信息安全吗?我知道这将允许他们也生成javascript,但我应该关心这一点吗 是的,它是安全的——只要你对它进行一定程度的消毒。一个很好的例子是使用并只允许使用诸如Javascript 允许用户将HTML保存到数据库是否安全?,javascript,html,security,Javascript,Html,Security,我有一个网站,我的客户可以使用它让他们的客户在线注册(这是日托注册)。因此,我提供了此在线注册表,并允许我的客户自定义“谢谢”消息,该消息在注册完成后显示 允许我的客户使用HTML格式化他们的感谢信息安全吗?我知道这将允许他们也生成javascript,但我应该关心这一点吗 是的,它是安全的——只要你对它进行一定程度的消毒。一个很好的例子是使用并只允许使用诸如、、、等标记,但要避免使用、和其他危险的标记 我知道我在引用一个PHP方法,但是很多语言都有这种功能来清理用户输入。从表面上看,不要让这成
我知道我在引用一个PHP方法,但是很多语言都有这种功能来清理用户输入。从表面上看,不要让这成为一个特定于PHP的答案。是的,你当然应该关心
<img src="http://evil.com/evilScript.js">
evilScript.js我的建议是,使用Markdown作为一种格式,并在需要时(在视图中)将其解析为HTML。是的,您当然应该关心
<img src="http://evil.com/evilScript.js">
evilScript.js我的建议是,使用Markdown作为一种格式,并在需要时(在视图中)将其解析为HTML。是的,如果您不想让用户暴露于漏洞,您绝对应该小心。您应该绝对小心。向OWASP询问原因和方式。而且,它很容易预防,同时允许人们使用尖括号而不逃避它们(我保证非技术用户不会这么做)。。。如果你有一点纪律性,并且正在使用一种有助于这一点的技术。是的,如果你不想让你的用户暴露于漏洞,你绝对应该小心。你应该绝对小心。向OWASP询问原因和方式。而且,它很容易预防,同时允许人们使用尖括号而不逃避它们(我保证非技术用户不会这么做)。。。如果你有一点纪律性,并且使用了一种有帮助的技术。
strip\u tagsstrip_tags