0

多くの JavaScript ブロックを含む Web サイトを設計しました。

<script type='text/javascript'></script>

ユーザーがマイ ページに投稿でき、悪意のあるユーザーがスクリプト ブロックを投稿として投稿する可能性があります。私が望むのは、ユーザーの投稿のスクリプト ブロックがcodeではなくtextとして扱われることです。

入力を検証してブロックを除外できることはわかっています<script>が、好奇心を満たすために<script>、ページが読み込まれた後に特定のタグが実行されるのをブロックする方法はありますか?

4

1 に答える 1

2

クライアントでJSを制御する確実な方法はありません。ロジックによって特定のコードブロックの実行が妨げられたとしても、ユーザーがコードを変更してJavascriptコンソールで実行することを妨げるものは何もありません。

原則として、ブラウザ側で発生することはすべてユーザーの制御下にあり、信頼されるべきではありません。おそらく検証を再考する必要があります。

于 2012-09-20T02:38:53.837 に答える