我不能在 jquery-terminal 中使用相对链接,因为所有链接都必须具有ftp或http(s)协议。
我不太了解警告https://terminal.jcubic.pl/api_reference.php#security
如果我使用anyLinks: true选项继续使用相对链接会发生什么?
答案 0 :(得分:0)
如果您不回显用户的内容并且不像聊天应用程序那样将其发送给其他用户,或者当您不回显用户和exec命令(使用execHash选项)时,则不会产生安全隐患。 / p>
如果您确实从用户那里回显内容,那么,如果您还允许用户格式化,则用户可以放[[!;;;;javascript:alert("xss")]xss]。
因此,如果您使用此方法,将会很安全:
$('body').terminal(function(text) {
this.echo($.terminal.escape_brackets(text));
});
您也将很安全。
如果您需要回显用户的内容并允许进行格式化,则需要像常规XSS预防中那样验证用户输入,但是字符串会有所不同。