我正在像 Tumblr、Blogger 等博客网站上做实验。在博客网站中,用户应该完全控制他们发布的内容。
因此,如果我允许用户在博客文章中包含 Javascript 代码,这是否会使我的网站容易受到 XSS 攻击?(我认为会的)
那么最好的方法是什么;
允许用户在 HTML 中包含 Javascript
阻止所有 Javascript 代码。
别的...(我不知道)
我正在使用 PHP/MySQL
user1899812
问问题
95 次
3 回答
4
不,允许第三方在您的站点中执行/注入代码通常是一个非常糟糕的主意。那只是自找麻烦。
于 2013-08-15T13:47:33.560 回答
2
大多数 XSS 漏洞来自 cookie 和/或同源请求(例如,它们可以 POST 到删除帐户页面)。
像 tumblr 这样的网站通过使用子域来规避这一点。从http://foo.example.org到http://example.org的请求被视为与来自http://example.com的请求相同(跨域)。不会传递任何 cookie,因此不存在 XSS 漏洞。
当然,周围仍然有 rootkit 脚本,但用户冒着这种风险去任何使用过时浏览器的站点。确保在某处否认这一点。
于 2013-08-15T13:52:17.710 回答
0
No, it's a bad Idea, also don't forget that not all your users have some knowledge in informatics, else if Your want a site for developer your can use for example some websites API like jsfiddle http://doc.jsfiddle.net/api/
于 2013-08-15T13:49:19.493 回答