Nic*_*ger 5 html javascript php ajax jquery
例如,我有一个基于Javascript的表单创建工具.您使用链接添加元素的html块(如输入字段)和TinyMCE来编辑文本.这些通过自动保存功能保存,该功能在特定事件的后台执行AJAX调用.
被调用的保存函数可以保护数据库,但我想知道用户是否可以操作DOM来添加他想要的任何内容(如自定义HTML或不需要的脚本).
如果有的话,这有多安全?
首先想到的是我应该从收到的html代码中搜索并删除任何内联javascript.
使用PHP,JQuery,Ajax.
根本不安全.你永远不能相信客户.即使是新手也很容易在客户端修改DOM(例如,只安装Firebug for Firefox).
虽然可以从客户端接受HTML,但请确保在服务器端使用PHP正确验证并清理它.