0

我有一个表单,用户可以在其中输入文本,稍后将显示在网站的某个位置。我想允许这种类型的格式,而不仅仅是纯文本。我是否认为如果我过滤掉<script>,和标签<link>,我可以免受用户更改布局或注入 XSS 和其他恐怖事件的影响?<style><object>

4

1 回答 1

0

就在发送问题之后,我意识到这显然是不够的,因为任何标签都可以有一个onClick带有 JS 代码的属性。
哎呀。

于 2012-10-24T09:44:08.917 回答