2

始める前に、ここで同様の質問を読んだと言いたいのですが、それが本当に質問に答えているとは思いません: Show HTML user input, security issue and Security risk from user-submitted HTML

これらは問題を非常によく浮き彫りにしていると思いますが、私は基本的に、これらの状況でのベスト プラクティスについてアドバイスを求めています。

私はしばらくの間プログラミングをしてきましたが、Web サイトの管理者に HTML マークアップを送信して、自分のサイトに必要なコンテンツを表示してもらいたいというところまで来ました。

このコンテンツをデータベースで保護することは問題ありませんが、サイト上で安全に表示したいと考えています。

とはいえ、この機能を利用できるのはサイト管理者だけです.

上記のスレッドが指摘しているように、スクリプト インジェクションを安全に防ぐことができないという現実はありますか?

彼らがサイトを壊した場合、それは彼らの責任であるという考え方を使用しますか?それとも、コンテンツを更新するときに何らかのマークアップ検証ツールを使用できますか?

4

3 に答える 3

1

マークダウンについてどう思われますか?

HTML を送信する安全な方法であり、ほとんどの一般的な言語のライブラリがあります。

于 2013-06-07T22:14:37.013 に答える
0

純粋な HTML の送信を許可する場合、その通りです。考えられるすべてのインジェクションを防ぐ方法はありません。考えられるすべての組み合わせでタグを無効にしたとしても<script>(そして多くの組み合わせがあります)、onfocus onmouseover悪意のあるコードを実行するために使用できるイベントのような方法が他にもあります。

于 2013-06-07T22:05:44.793 に答える
0

HTMLPurifier をお勧めします。これは確かに最善のソリューションです。ググって!

于 2013-06-07T22:18:17.853 に答える