![](/img/trans.png)
[英]How to prevent Javascript injection attacks within user-generated HTML
[英]Why is it dangerous to render user-generated HTML or Javascript?
允许最终用户编辑HTML或JavaScript可能导致您的网站容易受到XSS的攻击-https://www.owasp.org/index.php/Cross-site_Scripting_(XSS ) 。
如果用户查看其他用户创建的内容,则他们的脚本可能通过将值发送到攻击者的服务器来破坏cookie值或用户会话。
HTML可能会发生不好的事情; 更糟糕的事情可能发生在大多数模板引擎上,包括Jinja2。 就像任意代码执行一样。 这就是为什么有一个沙箱的原因。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.