我的应用会显示一些用户生成的内容,我还需要允许HTML标记。我想知道:当将config.xml文件设置为仅允许我自己的服务器时 - 用户/黑客是否会以某种方式窃取数据?在普通网页上,您可以插入脚本以将一些数据发送到另一台服务器。但在我的情况下,不可能将此用户的数据提供给第三方服务器。或者我错过了什么? (是的,我仍然会使用php脚本删除一些html实体。所以这只是一个关于它是否可能的问题,而不是关于是否相信其他用户是个好主意)
答案 0 :(得分:0)
世界上任何攻击者都可以向您的应用发送任何可以想象,有效或无效的数据,无论您认为哪些控制措施到位,并且您无法阻止他们发送任何内容。
一旦你相信你找到了阻止他们的方法,他们就可以简单地对你的客户进行逆向工程(第1步:下载.apk,第2步:JD-GUI,第3步:????第4步:pwnage)让他们拥有他们想要的任何能力。
如果您需要允许部分 HTML,但又不想容易受到XSS攻击,传统解决方案是在向最终用户提供数据时使用HTML Purifier输出
如果HTML Purifier太慢,请查看Stauros。 Stauros主要关注XSS预防,而HTML Purifier则有更广泛的目标,即输出符合标准的HTML。