0
最近我被要求测试我们公司的内部网站(只有连接到我们网络的电脑才能访问)。我意识到,文本字段输入运行输入的html代码。我的老板说这不是什么大不了的事。我们记录每一个变化,所以在不太可能的情况下,员工做了一些事情,我们会知道。我不是一个Web开发人员,所以我的问题是,是否存在某种恶意,因为这个缺陷可能会对我们的组织产生默默的影响?或者,我的老板是正确的,任何真正的恶意行为都会非常明显并且相当迅速地处理。我们的组织与宗教有关系,并处理大量资金,因此受到关注。接受HTML代码的HTML文本输入真的很糟糕,还是很糟糕?
我投票关闭这一问题作为题外话,因为它是关于计算机安全,而不是编程。 – duskwuff
也许这对于http://security.stackexchange.com/来说是一个更好的问题。但作为一般的经验法则,我不会允许任何脚本从用户输入中执行,而无需设置隔离沙箱来运行脚本除非你100%总是信任用户环境。 – joverall22
我不同意这不是编程。这绝对是程序员*应该非常清楚的东西。在你的表单中允许插入代码是不好的编程行为,是程序员*应该拥有的讨论。 编辑:我同意部分与joverall22 ...应该避免...虽然我甚至不会在我“100%总是信任用户”的环境中使用它。用户有一种“意外”的做法。 – akuta