2

我正在使用 PHP 和 jQuery 开发一个聊天应用程序...聊天对发送的所有消息都附加到<div>. 在执行此操作时,我发现<script>用户可以输入诸如此类的标签。附加用户消息时应该避免哪些标签?

4

2 回答 2

8

避免将内容注入页面的标签:

  • 小程序
  • 脚本
  • 风格
  • 关联
  • 框架

可能还需要删除其他标签。也许您不想嵌入图像。这些是您需要确定的事情。至少,允许<p><br />

于 2013-06-28T16:41:14.537 回答
4

您永远不应该使用任何黑名单方法(基本上禁止不良项目),因为您总是有可能忘记某些东西,或者黑客会找到绕过您的黑名单的方法(例如,通过使用 unicode)。相反,尝试使用白名单方法,即创建一组可接受的标签并禁止其他所有内容。

于 2013-06-28T16:38:26.153 回答