1
有人可以通过这种方法将一些恶意代码注入到我的脚本中吗?如果有人可能,最佳做法是什么?是DOMDocument :: loadHTMLFile()安全吗?
我想创建一个类似于reddit建议标题的方式。
A
回答
1
真的很简短的回答是YES。一般来说,HTML的任何“外来”加载都是不安全的 - 实际上,来自用户的任何数据加载可能是不安全的 - 所有用户提供的数据必须被验证和审查。
但是,根据您提供的信息确定答案是不可能的。这是因为它取决于哪个文件,文件是如何控制的,一旦文件加载,你如何处理文件。
添加此信息也许我可以给出更好的答案。
0
我假设,当你问关于该功能/方法的安全性,你正在谈论注入一些将在服务器上执行的代码,而不是XSS。
我不是一个C/C++专家,但看着dom_load_html()'s source code是背后loadHTMLFile()的方法,我可以看到它下面的结构良好的逻辑和流程,除了很好地控制安全故障时遇到问题。
同样,我是一个新手,你可能需要一些专家C/C++,以上只是我个人的意见。
相关问题
- 1. DOMDocument :: loadHTMLFile()修改用户代理
- 2. 是java.nio.file.Files.write(...)安全吗?
- 3. 是NetNamedPipeBinding安全吗?
- 4. 是OrderByRaw()安全吗?
- 5. 使用PHP DOMDocument :: loadHTMLFile修改所有hrefs,并使它们绝对
- 6. loadHTML&loadHTMLFile,哪一个更快?
- 7. AHAH是安全风险吗?
- 8. 是DatagramSocket.send线程安全吗?
- 9. 3G是安全连接吗?
- 10. 是TcpClient.Available线程安全吗?
- 11. 是$ _SERVER ['HTTP_REFERER']安全吗?
- 12. 线程安全(是吗?)
- 13. 是uninitialized_copy()异常安全吗?
- 14. OKHTTP是安全的吗?
- 15. 是unique_ptr线程安全吗?
- 16. 是System.DirectoryServices.AccountManagement.GroupPrincipal线程安全吗?
- 17. PHP是安全的吗?
- 18. 是sqlite.swift线程安全吗?
- 19. 是DocumentBuilder.parse()线程安全吗?
- 20. PHP:这是安全的吗?
- 21. 是(bool | bool)安全吗?
- 22. 是Microsoft.Practices.EnterpriseLibrary.Data.Database.SetParameterValue线程安全吗?
- 23. 是长线程安全吗?
- 24. 是javax.sql.DataSource线程安全吗?
- 25. 是java.util.UUID线程安全吗?
- 26. JQuery安全吗?
- 27. FormsAuthentication:安全吗?
- 28. “User.Identity.Name”安全吗?
- 29. TempData:安全吗?
- 30. 网络安全 - url参数安全吗?