-1

我有一个网站目前正在开发中,我允许用户发表评论。我想知道如果用户恶意发布 HTML 元素是否存在潜在的安全问题。我知道允许 javascript 或 CSS 是危险的,但是 HTML 呢?

4

2 回答 2

1

是的,评论中提到了 iframe 之类的安全问题。OWASP 在此处有一个关于处理 3rd 方内容的非常详细的页面: https ://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet 。

各种语言提供库来处理这个问题:

于 2013-11-07T03:09:02.250 回答
0

许多不同的 HTML 元素可以被恶意使用,尽管 iframe 和 script 是最糟糕的。最安全的解决方案是允许仅格式化的语言(例如 Markdown)可以轻松地与大多数服务器端语言一起使用。

于 2013-11-07T03:07:29.130 回答