我们希望允许人们有时在我们的论坛帖子中嵌入一些小部件。但出于安全考虑,我们一直在删除脚本标签,尽管我们并不真正知道问题是什么。
那里有无数有用的小部件,我们不介意人们将它们添加到帖子中,但我们不想损害我们的系统,或允许木马等。
现在人们在想什么?我们禁止脚本标签的做法是否被认为是最佳做法?
谢谢
道格
最佳答案
有多危险?非常。让人们在帖子中嵌入 <script> 标签是对 cross-site scripting attacks 的公开邀请。 .
关于javascript - 允许人们在论坛帖子中使用 <script> 标签是否危险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23728988/