Dar*_*ius 0 security
我不知道如何使我的网站完全防黑.我有输入,人们可以输入在网站上发布的信息.我应该过滤什么以及如何过滤?
我不应该允许脚本标签吗?(问题是,他们将如何将YouTube嵌入代码放在网站上?)
的iFrame?(人们可以在iFrame中放置不合适的网站......)
请让我知道一些可以防止问题的方法.
SLa*_*aks 5
首先,通过严格的XML解析器运行用户的输入. 拒绝任何无效标记.
您应该使用HTML标记和属性的白名单(在解析的XML中).
不允许使用<script>标签,标识<iframe>或style属性.
<script>
<iframe>
style
运行所有的URL(href和src通过URI语法分析器(例如,NET的属性)Uri类),并确保该协议http,https或可能mailto.同样,拒绝任何无效的网址.
href
src
Uri
http
https
mailto
如果您想允许YouTube嵌入,请添加自己的<youtube>标记,该标记将URL或视频ID作为参数(内容或属性),并将其转换为服务器上的脚本(验证参数后).
<youtube>
完成后,请确保您阻止此巨型列表中的所有内容.
归档时间:
15 年,1 月 前
查看次数:
134 次
最近记录:
11 年,9 月 前