我想知道嵌入js是否是网站安全的问题,我的意思是,如果我有一个输入文本,我需要操纵用户输入的内容,如果我把'<script> alert('hey');</script>'放在文本输入中,操作的原因,它在浏览器中执行,但然后在我的服务器端脚本我从该字符串中删除所有不安全的标签,所以我认为我在服务器端没有问题,但是浏览器端呢?
如果恶意嵌入$(document).load(some malicious script);之类的东西会在浏览器端出现问题吗?这可能是一个我知道的平庸的问题,但我曾向我询问过这个事实,例如,如果我在例如嵌入$(somenthing).load(somenthing)的萤火虫中,这可能是一个安全问题吗?
希望我的问题很明确,抱歉我的英语不好:|
答案 0 :(得分:1)
答案 1 :(得分:1)
您希望阅读XSS(和here)。如果您编码所有可以启动脚本的HTML部分(请参阅OWASP XSS prevention cheat sheet)标记,您会没事的;当字符串返回给客户端时,不会有任何脚本要执行。但是,如果任何脚本仍然存在,并且它返回给客户端,那么悲伤的可能性仍然存在。