我开发了一个网站,允许用户将小部件嵌入到他们的个人资料中。
这些小部件允许 html 并支持从 youtube 嵌入代码 (iframe) 到 Google Analytics 代码 (JavaScript) 的任何内容。
我最近了解到黑客使用 iframe 和 JavaScript 来利用网站登录和 ftp 访问。
是否有某种 php 解决方案可以集成到我的网站中以避免这些类型的黑客攻击,同时仍然允许用户将 HTML 小部件嵌入到他们的个人资料中?
最佳答案
没有。
您无法机械地区分所有“好”JavaScript(例如 Google Analytics)和“坏”JavaScript。 (如果没有您认可的白名单脚本,这将不可避免地不允许用户想要的一切,或者将不合适的黑名单脚本列入黑名单,这将不可避免地成为一场打地鼠游戏。)
您将需要停止允许用户将任意 HTML 注入(inject)您的网站。
关于php - 使用 PHP 控制用户输入的 Javascript/HTML/textarea 并防止 iframe hack,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10990929/