cos*_*ari 1 javascript security xss wymeditor
我好奇,有问题的页面受密码保护,但它让我思考.我正在使用Wymeditor J-Query插件,它运行得相当好,并通过自动将尖括号转换为html字符等来处理XSS脚本尝试.
显然,通过直接访问,用户可以禁用javascript,然后将任何形式的恶意标签插入数据库.但是,我想知道自动脚本是否有可能禁用javascript,如果它设法获得密码保护,并因此将恶意脚本插入数据库,然后当数据库信息显示在另一个页面时运行?
*更新*
我应该扩大一点.我通常会使用strip_tags()并使用预准备语句,但是对于Wymeditor来说,对客户端有任何用处,那么我就不能使用strip_tags().我知道我可以编写一些代码来删除任何恶意内容,但我不确定我会查找多少恶意内容,我假设XSS攻击比<script>更糟糕的东西更糟糕<脚本>类型的东西.
规则#1:永远不要信任用户数据.
推论:来自客户端的任何东西都是用户数据,无论您的页面采取什么样的浏览器测量(自动脚本可能根本不会运行JS,或者可能会注入页面上不存在的表单字段).
所以,虽然JS编辑器不使网站的任何较少的安全,它不提供任何额外的安全之一:客户端的措施(如JS输入滤波)是为方便用户只和精确为零提供保护; 无论客户端如何,您都需要清理用户输入服务器端.