我很好奇,有问题的页面受密码保护,但这让我开始思考。我正在尝试使用 Wymeditor J-Query 插件,它工作得相当好,并通过自动将尖括号转换为 html 字符等来处理 XSS 脚本尝试。
显然,通过直接访问,用户可以禁用 javascript,然后将任何方式的恶意标签插入到数据库中。但是我想知道如果自动脚本设法购买密码保护,是否有可能禁用 javascript,从而将恶意脚本插入数据库,然后当数据库信息显示在另一个页面上时运行??
* 更新 *
我应该扩展一下。我通常会使用 strip_tags() 并使用准备好的语句,但是为了让 Wymeditor 对客户端有任何用处,我就不能使用 strip_tags()。我知道我可以编写一些代码来删除任何看似恶意的内容,但我不确定我要寻找多少恶意内容,我假设 XSS 攻击比仅仅<脚本>做坏事<脚本>类型的东西更多样.
最佳答案
规则 #1:永远不要相信用户数据。
推论:来自客户端的任何东西都是用户数据,无论您的页面在浏览器中采取什么措施(自动化脚本可能根本不运行 JS,或者可能注入(inject)页面上不存在的表单字段)。
因此,虽然 JS 编辑器不会使网站不那么安全,但它也不提供任何额外安全性:客户端措施(例如JS 输入过滤)仅方便用户,并提供完全零保护; 您需要在服务器端清理用户输入,而不考虑客户端。
关于javascript - 在现场使用 Wymeditor 安全吗?自动脚本可以禁用 javascript 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13069368/