Javascript 允许用户将HTML保存到数据库是否安全?
我有一个网站,我的客户可以使用它让他们的客户在线注册(这是日托注册)。因此,我提供了此在线注册表,并允许我的客户自定义“谢谢”消息,该消息在注册完成后显示 允许我的客户使用HTML格式化他们的感谢信息安全吗?我知道这将允许他们也生成javascript,但我应该关心这一点吗 是的,它是安全的——只要你对它进行一定程度的消毒。一个很好的例子是使用并只允许使用诸如Javascript 允许用户将HTML保存到数据库是否安全?,javascript,html,security,Javascript,Html,Security,我有一个网站,我的客户可以使用它让他们的客户在线注册(这是日托注册)。因此,我提供了此在线注册表,并允许我的客户自定义“谢谢”消息,该消息在注册完成后显示 允许我的客户使用HTML格式化他们的感谢信息安全吗?我知道这将允许他们也生成javascript,但我应该关心这一点吗 是的,它是安全的——只要你对它进行一定程度的消毒。一个很好的例子是使用并只允许使用诸如、、、等标记,但要避免使用、和其他危险的标记 我知道我在引用一个PHP方法,但是很多语言都有这种功能来清理用户输入。从表面上看,不要让这成
、
、
、
等标记,但要避免使用
、
和其他危险的标记
我知道我在引用一个PHP方法,但是很多语言都有这种功能来清理用户输入。从表面上看,不要让这成为一个特定于PHP的答案。是的,它是安全的——只要你对它进行一定程度的消毒。一个很好的例子是使用并只允许使用诸如
、
、
、
等标记,但要避免使用
、
和其他危险的标记
我知道我在引用一个PHP方法,但是很多语言都有这种功能来清理用户输入。从表面上看,不要让这成为一个特定于PHP的答案。是的,你当然应该关心
<img src="http://evil.com/evilScript.js">
在他们的感谢信中,我将把evilScript.js
上可能出现的内容留给你想象
我的建议是,使用Markdown作为一种格式,并在需要时(在视图中)将其解析为HTML。是的,您当然应该关心
<img src="http://evil.com/evilScript.js">
在他们的感谢信中,我将把evilScript.js
上可能出现的内容留给你想象
我的建议是,使用Markdown作为一种格式,并在需要时(在视图中)将其解析为HTML。是的,如果您不想让用户暴露于漏洞,您绝对应该小心。您应该绝对小心。向OWASP询问原因和方式。而且,它很容易预防,同时允许人们使用尖括号而不逃避它们(我保证非技术用户不会这么做)。。。如果你有一点纪律性,并且正在使用一种有助于这一点的技术。是的,如果你不想让你的用户暴露于漏洞,你绝对应该小心。你应该绝对小心。向OWASP询问原因和方式。而且,它很容易预防,同时允许人们使用尖括号而不逃避它们(我保证非技术用户不会这么做)。。。如果你有一点纪律性,并且使用了一种有帮助的技术。
strip\u tags
提供了一个黑名单,他需要一个白名单。你可以用黑名单来做,但那不是最好的。@MadaraUchiha:的确如此。我将其用作安全性的基准,例如,不作为安全性的基准。但实际上,实现一种将显式标记列为白名单的方法,如果您自己开发了解决方案,请进行彻底的测试。strip_tags
提供了一个黑名单,他需要一个白名单。你可以用黑名单来做,但那不是最好的。@MadaraUchiha:的确如此。我将其用作安全性的基准,例如,不作为安全性的基准。但是事实上,实现一种白名单显式标记的方法,如果您自己开发了解决方案,请进行彻底的测试。我会使用简化版的Markdown,它不支持嵌入HTML,否则你也会遇到同样的问题,只是语法更好。我会使用简化版的Markdown,它不支持嵌入HTML,否则你也会遇到同样的问题,只是语法更好。