在开始之前,我想说我在这里读过类似的问题,但我认为它并没有真正回答这个问题:Show HTML user input, security issue and Security risk from user-submitted HTML
我认为这些很好地突出了这些问题,但我本质上是在寻求在这些情况下的最佳实践建议。
我已经编程了一段时间,现在我希望网站管理员提交 HTML 标记以在他们自己的网站中显示他们想要的内容。
在数据库中保护这些内容很好,但现在我想在网站上安全地显示它。
尽管,此功能仅适用于站点管理员,但我仍然希望防止恶意脚本注入,并尝试防止他们使用糟糕的 HTML 破坏页面。
正如上面的线程似乎指出的那样,我无法安全地防范脚本注入是不是现实?
我是否会认为如果他们破坏了网站,这取决于他们,还是我可以在他们更新内容时使用某种标记验证器?