[英]How to prevent users from embedding custom HTML
在我的站點中,有一個 div 由我的系統動態更新。
通過 Ajax,該 div 內容被檢索並發送到我的服務器。
這是通過
$("div").find("script").remove();
var data = $("div").html();
////ajax request
如何防止用戶通過檢查元素添加自己的 HTML,我已經通過腳本標簽完成了此操作,但不確定這有多安全。
注意,自定義的 html 必須刪除,不能轉換為 html 實體或 url 編碼的東西
我不認為有 100% 安全的方式,但有沒有辦法讓至少用戶很難做到這一點。
如果用戶通過檢查元素添加自定義 html,則不應將其刪除。 僅當發出 ajax 請求時,應刪除任何自定義 html
Mutatiion Observer可以幫助防止通過開發工具更改 html。
但是,在我看來,最好在后端期望正確的數據,而不是嘗試在通常是不受信任的區域的前端做一些額外的事情。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.