0
我有一个网站,我的客户可以使用它来允许他们的客户在线注册(这是用于日托注册)。因此,我提供此在线注册表格,并允许我的客户定制注册完成后显示的“谢谢”消息。安全地允许用户将HTML保存到数据库?
让我的客户使用HTML格式化他们的感谢信息是否安全?我知道这会让他们也生成JavaScript,但我应该关心它吗?
A
回答
1
是的,它是安全的 - 只要你在一定程度上消毒。一个很好的例子是使用strip_tags,并且只允许诸如<h1>,<h2>,<b>,<u>等标签,但是避免<script>,<object>和其他危险标签。
我知道我在引用PHP方法,但很多语言都有这种功能来清除用户输入。以面值为准,而不是将其作为PHP特定的答案。
+3
'strip_tags'提供了一个黑名单,他需要一个白名单。你可以用黑名单来做,但这不是最佳的。 –
+0
@MadaraUchiha:确实。我用它作为例如不作为安全基准。但的确,实施一种白名单明确标签的方法,如果你自己开发了解决方案,**测试彻底**。 –
3
是的,你当然应该在意。
<img src="http://evil.com/evilScript.js">
他们感谢您的留言,我将离开可能是在evilScript.js你的想象力的东西。
我的建议是,使用Markdown作为格式,并在需要时将其解析为HTML(在视图中)。
+0
+1我只是写这个东西。我会使用Markdown的简化版本,它不支持嵌入HTML,否则你会遇到同样的问题,只能使用更好的语法。 – tjameson
相关问题
- 1. 如何安全地允许我的用户连接到我的数据库?
- 2. 将html保存到数据库的安全方法
- 3. 允许CMS用户添加HTML到sql数据库行?
- 4. 将帐户余额安全地存储在数据库中?
- 5. 允许用户将html/php/css页面保存为pdf吗?
- 6. HTML - MongoDB不允许保存
- 7. 将html内容保存到数据库
- 8. 将HTML表保存到数据库
- 9. 将IP地址保存到数据库
- 10. SharedObject不安全地保存数据?
- 11. 允许将空值保存在数据库中
- 12. 保存银行账户数据安全
- 13. 允许部分检验完成 - 当保存到数据库
- 14. 如何使用Spring安全性将验证用户的IP地址保存到数据库?
- 15. 允许用户将html列表的内容保存到文本文件
- 16. Django的:允许安全的HTML标签
- 17. 安全地保存和显示mysql数据库中的HTML和特殊字符?
- 18. 如何保存不允许用户访问数据的文件?
- 19. 允许用户编辑和存储HTML
- 20. 允许用户将html内容存储到数据库并检索网页上的html内容需要什么安全问题
- 21. 在.NET中安全地将数据插入到数据库中
- 22. 如何安全地允许SQL注入
- 23. 安全地将Android Firebase身份验证用户存储在MySQL数据库中
- 24. 保存用户数据库
- 25. 保护Java数据(将项目保存到安全文件)?
- 26. 安全地存储数据
- 27. 网页上的安全性将允许用户动态地添加javascript
- 28. 将数据库ID存储在HTML页面中安全吗?
- 29. 通过客户端处理将HTML数据保存到数据库中
- 30. 将html表格数据保存到数据库中
是的,如果您不想将用户暴露于[跨站点脚本](http://en.wikipedia.org/wiki/Cross-site_scripting)漏洞,您绝对应该关心。 – cdhowie
你应该绝对照顾。询问OWASP为什么和如何。此外,它很容易防止,同时允许人们使用尖括号而不会逃脱它们(非技术用户不会,我承诺)......只要您有一定的纪律,并且正在使用技术这有助于它。 – delnan