例如我有一个Javascript 支持的表单创建工具。您可以使用链接添加元素的 html 块(如输入字段),并使用 TinyMCE 来编辑文本。这些是通过自动保存功能保存的,该功能在特定事件的后台执行 AJAX 调用。
被调用的保存函数负责数据库保护,但我想知道用户是否可以操纵 DOM 来添加他想要的任何内容(例如自定义 HTML 或不需要的脚本)。
这有多安全,如果有的话?
我首先想到的是,我可能应该搜索并从收到的 html 代码中删除任何内联 javascript。
使用 PHP、JQuery、Ajax。
一点也不安全。你可以永远不要相信客户。即使对于新手来说,在客户端修改 DOM 也很容易(例如,只需安装 Firefox 的 Firebug)。
虽然可以接受来自客户端的 HTML,但请确保在服务器端使用 PHP 对其进行正确的验证和清理。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)