[英]Why is it dangerous to render user-generated HTML or Javascript?
允许最终用户编辑HTML或JavaScript可能导致您的网站容易受到XSS的攻击-https://www.owasp.org/index.php/Cross-site_Scripting_(XSS ) 。
如果用户查看其他用户创建的内容,则他们的脚本可能通过将值发送到攻击者的服务器来破坏cookie值或用户会话。
HTML可能会发生不好的事情; 更糟糕的事情可能发生在大多数模板引擎上,包括Jinja2。 就像任意代码执行一样。 这就是为什么有一个沙箱的原因。
如何在用户生成的 HTML 中防止 Javascript 注入攻击
[英]How to prevent Javascript injection attacks within user-generated HTML
HTML / Javascript:我应该编码,转义或清除用户生成的alt属性字符串( <img/> 标签)?
[英]HTML / Javascript: Should I encode, escape, or sanitize user-generated strings for alt attributes (<img/> tags)?
转义用于 javascript 的 Qualtrics 管道文本(更一般地说,如何安全地转义用户生成的文本)
[英]Escaping Qualtrics piped text for use in javascript (more generally, how to safely escape user-generated text)
使用Java脚本将用户生成的文本原样添加到DOM,而无需使用白名单或黑名单
[英]Use Javascript to add user-generated text to DOM as-is without using whitelist or blacklist
JavaScript:如何以秒为单位存储、更新和计算一组用户生成时间中值的平均值和总数
[英]JavaScript: How to store, update, and calculate the average and total number of values in a set of user-generated times in seconds
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
