フォームにjQueryredactorjsを使用して、ユーザーがフォーマットされた美しいテキストを入力できるようにします。しかし、stackoverflowを閲覧した後、事前にフォーマットされた入力を決して受け入れてはならないというユーザーからの回答をいくつか見つけました。これが質問リンクです。
Webサイトを安全にしたいのですが、このjqueryプラグインを使用すると、Webサイトの安全性が低下しますか?
質問する
215 次
2 に答える
0
あなたが参照しているリンクはSQLインジェクションに関するものです。ここでのポイントは、クライアント側のライブラリを使用して有害な入力を防ぐことはできないということです。ただし、ライブラリを使用して、ユーザーがフォーマットされたテキストを入力できるようにします。これはまったく問題ありません。
クライアント側で使用するライブラリの種類に関係なく、サーバー側で取得した入力を検証する必要があります。悪意のあるユーザーは、クライアント側にあるすべてのライブラリを技術的にバイパスして、好きなものをサーバーに送信できることを認める必要があります。そのため、サーバーは、SQLインジェクション攻撃などに対してすべての入力を検証する必要があります。
于 2012-06-24T15:16:33.400 に答える
0
クライアントからの HTML 入力を受け入れることは安全ではありません。jQuery プラグインでユーザーがXSSを作成できない場合でも、クライアントが実行しているコードを変更するのは非常に簡単です。
マークダウンのようなもの (たとえば、StackOverflow が行うように) でユーザーからの入力を受け入れるか、慎重にホワイトリストに登録された HTML タグと属性のセットを使用して (有効な HTML を出力として生成することを確認してください)、いずれかの方法でユーザーからの入力を受け入れる必要があります。ただし、これを正しく行うのは非常に難しいことであり、最高のセキュリティのためにこれを行う十分に実績のあるライブラリを使用するのが最善です.
于 2012-06-24T06:04:23.513 に答える