如何防止用戶嵌入自定義 HTML
[英]How to prevent users from embedding custom HTML
問題描述
在我的站點中,有一個 div 由我的系統動態更新。
通過 Ajax,該 div 內容被檢索並發送到我的服務器。
這是通過
$("div").find("script").remove();
var data = $("div").html();
////ajax request
如何防止用戶通過檢查元素添加自己的 HTML,我已經通過腳本標簽完成了此操作,但不確定這有多安全。
注意,自定義的 html 必須刪除,不能轉換為 html 實體或 url 編碼的東西
我不認為有 100% 安全的方式,但有沒有辦法讓至少用戶很難做到這一點。
如果用戶通過檢查元素添加自定義 html,則不應將其刪除。 僅當發出 ajax 請求時,應刪除任何自定義 html
1 個解決方案
解決方案1
-1 2021-02-13 23:07:02
Mutatiion Observer可以幫助防止通過開發工具更改 html。
但是,在我看來,最好在后端期望正確的數據,而不是嘗試在通常是不受信任的區域的前端做一些額外的事情。
如何防止貓鼬使用 ObjectID 插入而不是嵌入它
[英]How to prevent mongoose from inserting with ObjectID instead of embedding it
如何防止用戶從本地保存的Html登錄頁面訪問Web應用程序?
[英]How to prevent users from accessing a web application from a locally saved Html login page?
如何防止用戶通過PayPal購買產品時更改html?
[英]How to prevent users from changing html when buying products via PayPal?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.