Javascript 这些html标记和属性会使我的网站易受攻击吗?
我正在开发一个社交网站,只允许用户在帖子中使用这些html标记和属性:Javascript 这些html标记和属性会使我的网站易受攻击吗?,javascript,html,security,exploit,Javascript,Html,Security,Exploit,我正在开发一个社交网站,只允许用户在帖子中使用这些html标记和属性: tags: <img>,<b>, <strong>, <blockquote>, <a> attribs: 'src', 'alt', 'width', 'height', 'href','class' 标签: 任何其他标记都将在呈现的html中过滤掉。 我想知道,这一有限的设置也会为某些XXS或其他漏洞打开大门?是的,如果允许这些标记和属性,您将容易受到XS
tags: <img>,<b>, <strong>, <blockquote>, <a>
attribs: 'src', 'alt', 'width', 'height', 'href','class'
标签:
任何其他标记都将在呈现的html中过滤掉。
我想知道,这一有限的设置也会为某些XXS或其他漏洞打开大门?是的,如果允许这些标记和属性,您将容易受到XSS攻击,例如:
<a href="javascript: code that sends users login cookie to hacker">click me!</a>
在请求中(用户提交潜在的XS),使用真正的HTML解析器(如JSoup)根据白名单验证您的HTML
在响应中(显示可能的XS),使用库对用户输入进行HTML编码。看
阅读
usandfriends的评论是不正确的,这与CORS无关是的:
。好吧,如果我也把javascript
列入黑名单会怎么样?另外,我认为
可以有一个PHP脚本作为源代码,但我不确定这会有多危险。@Xufox这并不危险,因为CORS不应该允许访问该站点的任何cookie或DOM。用户可以将图像源指向一个非常大的图像,这可能会挂起甚至崩溃客户端的浏览器选项卡。有些站点在显示图像之前会检查图像大小。如果图像太大,则会显示一个解释:“由于图像太大,因此不会自动显示。请直接查看它”
“虽然这不会使web服务器本身易受攻击,但对您的客户端来说,这不是一个愉快的体验。@我们和朋友在提交时检查文件大小不起作用,因为远程资源的大小可以随时更改。(你甚至不需要PHP来做这件事。)