例如,我有一个Javascript-powered表单创建工具。您可以使用链接添加html元素(如输入字段)和TinyMCE来编辑文本。这些通过一个自动保存功能保存,在特定事件的后台执行AJAX调用。用Javascript编辑和保存用户HTML - 它有多安全?
被调用的保存函数会执行数据库保护,但我想知道用户是否可以操纵DOM来添加任何他想要的内容(如自定义HTML或不需要的脚本)。
这样安全吗,如果有的话?
首先想到的是,我应该搜索并从接收到的html代码中删除任何内嵌javascript。
使用PHP,JQuery,Ajax。
所有的答案似乎是正确的,但我会与社区Upvote计数为最好的。谢谢大家! – 2012-04-26 09:08:48