如果我在mysql数据库的列中存储个人的javascript代码,是否会出现跨站点脚本等问题?
假设twitter有一个mysql数据库,它允许用户在自己的个人资料中显示他们自己的Google Adsense广告,方法是让他们选择将自己的javascript代码上传到他们的数据库中。这对数据库来说是致命的吗?
答案 0 :(得分:3)
是的,你可以,但这是一个坏主意,因为你无法控制包含哪种脚本。
我最好允许用户在单独的字段中插入Google AdSense标识符,并告诉他们您将为其插入JS代码段。只需确保标识符仅包含此类标识符中允许的字符,不允许使用JS代码或HTML标记。