我不能在jquery-terminal中使用相对链接,因为所有链接都必须具有 ftp 或 http(s) 协议。
我不太明白警告https://terminal.jcubic.pl/api_reference.php#security
如果我使用anyLinks: true选项继续使用相对链接会发生什么?
问问题
28 次
1 回答
0
如果您不回显来自用户的内容并且不将其发送给其他用户,例如使用聊天应用程序,或者当您不回显来自用户和执行命令(使用 execHash 选项)时,则没有安全隐患。
如果您确实从用户那里回显了内容,那么用户可以 put [[!;;;;javascript:alert("xss")]xss],如果您还允许用户格式化。因此,如果您使用它,您将是安全的:
$('body').terminal(function(text) {
this.echo($.terminal.escape_brackets(text));
});
你也会很安全。
如果您需要回显来自用户的内容并允许格式化,那么您需要像在正常的 XSS 预防中一样验证用户输入,但字符串会有所不同。
于 2018-10-14T13:27:40.040 回答