我有一个网站,我的客户可以使用该网站允许他们的客户在线注册(这是为日托注册)。因此,我提供此在线注册表单,并允许我的客户自定义注册完成后显示的“谢谢”消息。
允许我的客户使用HTML格式化他们的感谢信息是否安全?我知道这会让他们也生成javascript,但我应该关心吗?
答案 0 :(得分:3)
是的,你当然应该关心。
<img src="http://evil.com/evilScript.js">
在他们的感谢信息上,我会将evilScript.js
的内容留给你的想象力。
我的建议是,使用Markdown作为格式,并在需要时将其解析为HTML(在视图中)。
答案 1 :(得分:1)
是的,它是安全的 - 只要你在某种程度上消毒它。一个很好的例子是使用strip_tags
并且仅允许<h1>
,<h2>
,<b>
,<u>
等标记,但避免使用<script>
, <object>
和其他危险标签。
我知道我正在引用PHP方法,但很多语言都有这种功能来清理用户输入。以面值来表达,而不是将其作为特定于PHP的答案。