我使用的是contentEditable div,它允许用户编辑主体HTML,然后使用AJAX请求将其直接发布到站点.自然,我必须对此进行一些安全检查.最明显的是通过在提交的HTML中搜索< script来确保没有提交脚本标签.首先运行htmlentities,将数据传输到另一台服务器,然后运行html_entity_decode,然后执行此操作.此外,必须关闭每个打开的标签,并且必须在用户提交的HTML中打开每个关闭的标签.
忽略无关的安全风险(例如SQL注入)和非安全风险(例如用户发布不适当的图像),还有哪些其他安全风险(如果有的话)与允许用户直接将HTML直接添加到页面特别相关?
更加具体,
>是否可以在不显式使用脚本标记的情况下将脚本放入页面中,或者
>是否可以通过不使用脚本来编辑HTML来损害站点或其用户的安全性的方法?
解决方法:
通过使用元素上的事件属性,可以通过多种方式调用Javascript,例如:
here发布了一个类似的问题,建议使用HTMLPurifier,而不是尝试自己处理.
标签:html,php,security,contenteditable
来源: https://codeday.me/bug/20191011/1893641.html
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
