我正在试验一个博客网站,如Tumblr,Blogger ...... [等]。在博客网站中,用户应该完全控制他们发布的内容。
因此,如果我允许用户在博客帖子中包含Javascript代码,是否会使我的网站容易受到XSS攻击? (我认为会这样)
那么最好的方式是什么;
允许用户在HTML中包含Javascript
阻止所有Javascript代码。
别的......(我不知道)
我正在使用PHP / MySQL
答案 0 :(得分:4)
不,允许第三方在您的网站中执行/注入代码通常是一个非常糟糕的主意。那只是在寻找麻烦。
答案 1 :(得分:3)
大多数XSS漏洞来自cookie和/或同源请求(例如,他们可以POST到删除帐户页面)。
tumblr等网站通过使用子域来规避此问题。 http://foo.example.org至http://example.org的请求与来自http://example.com(来源)的请求相同。不会传递任何cookie,因此没有XSS漏洞。
当然仍然存在rootkit脚本,但是用户会将这种风险带到任何具有过时浏览器的站点。一定要放弃某处。
答案 2 :(得分:0)
不,这是一个糟糕的想法,也不要忘记并非所有用户都对信息学有一定的了解,否则如果您想要一个开发人员的网站,您可以使用一些网站API,例如jsfiddle http://doc.jsfiddle.net/api/ < / p>