我们正在运行一个传统的CMS系统,它以纯HTML格式存储一些内容。此内容现在使用我的angular 1.5应用程序中的http获取并显示在页面上。我现在应该在将HTML添加到页面之前对其进行分类吗?如果有,怎么样?如果没有,为什么不呢?
答案 0 :(得分:0)
这取决于谁可以输入HTML。如果只有经过授权的个人可以输入内容,您可以对其进行清理,因此它会显示在页面上...但是,如果语法不正确,这可能会导致页面出错,如果可以避免,我不会建议。
如果内容可以来自任何人,那么绝对不应该将其插入您的页面,它会为XSS攻击打开它!
观看此视频,攻击如何接管您的网站:https://www.youtube.com/watch?v=U4e0Remq1WQ