我目前正在开发一个网站,我允许用户发表评论。如果用户恶意发布HTML元素,我想知道是否存在潜在的安全问题。我知道允许javascript或CSS是危险的,但HTML呢?
答案 0 :(得分:1)
是的,评论中提到了像iframe这样的安全问题。 OWASP有一个关于处理第三方内容的非常详细的页面:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet。
各种语言提供库来处理这个问题:
答案 1 :(得分:0)
许多不同的HTML元素可以以恶意方式使用,尽管iframe和脚本是最糟糕的。最安全的解决方案是允许仅使用格式化语言,例如Markdown,可以轻松地与大多数服务器端语言一起使用。