例如,我有一个Javascript 支持的表单创建 工具。您使用链接添加元素的 html block (如输入字段)和 TinyMCE 来编辑文本。这些是通过自动保存功能保存的,该功能在特定事件的后台执行 AJAX 调用。
被调用的保存函数执行数据库保护,但我想知道用户是否可以操纵 DOM 以添加他想要的任何内容(如自定义 HTML 或不需要的脚本)。
这有多安全,如果有的话?
首先想到的是我可能应该搜索并从收到的 html 代码中删除任何内联 javascript。
使用 PHP、JQuery、Ajax。
最佳答案
一点都不安全。您永远不能信任客户。即使是新手也可以轻松地在客户端修改 DOM(例如,只需为 Firefox 安装 Firebug)。
虽然可以接受来自客户端的 HTML,但请确保在服务器端使用 PHP 正确验证和清理它。
关于php - 使用 Javascript 编辑和保存用户 HTML - 它有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10329698/