我正在创建一个页面,用户将在其中指定图像的 url。此 url 将存储在 DB 中,然后将其检索回来以显示图像。到目前为止,如果用户不想恶作剧,那就太好了。
但现在通过 http://ha.ckers.org/xss.html ,用户还可以指定一个实际上是脚本的 url。
<IMG SRC=javascript:alert('XSS')>
我在页面中试过这个,但这没有造成任何伤害。 [没有显示警报] 所以关键是,我真的需要关心用户指定的内容吗?如果是,那么我需要考虑哪些情况/场景,以及如何做到这一点?
最佳答案
只要您从不受信任的来源获得任何东西,您就需要小心处理。在这种情况下,用户可以编写一些有害代码来破坏您的 html。
<img alt='' src='' />alert('xss');<!--'-->
在不同的地方使用时,用户输入也应该以不同的方式处理。例如。 URL 编码、Html 编码、Javascript 编码。
总而言之,不要相信用户输入!
关于javascript - 设置图像的 src 属性时是否需要小心,其中 src 路径由用户指定?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4253876/