|
|
4 回复 | 直到 15 年前
|
1
6
你犯下了不安全的web模板编程的第一个致命的罪——没有逃避被呈现到模板中的值的内容。我几乎可以向您保证,如果您采用这种方法,您的Web应用程序将容易受到XSS(跨站点脚本)的攻击,任何第三方都可以在您的页面中运行自定义JavaScript,窃取用户数据,并根据他们的意愿造成破坏。 过来看。 http://en.wikipedia.org/wiki/Cross-site_scripting 解决方案是转义内容。在HTML内部的javascript中,要正确地完成这一点,不仅仅是将转义序列放在反斜杠前面。 任何合适的模板引擎都应该为您提供一种方法,在将内容写入模板时对其进行转义。您的数据库值可以保持原样,重要的部分是在输出时对其进行转义。如果模板引擎或动态Web应用框架不允许这样做,请更改为允许这样做的模板引擎或动态Web应用框架。:) |
|
|
2
1
为了支持先前的评论,请阅读以下内容,以更好地了解安全建议为何如此重要。 |
|
|
3
0
我认为,您可以通过替换 具有 |
|
4
0
尽管每个人提供的安全信息都很有价值,但在这种情况下,它与我没有太大关系,因为在这个实例中,所有的东西都是客户端的,在获取数据和呈现XML时,都会应用安全措施。该页还通过Windows身份验证(仅限管理部分)进行保护,并且无法更改Web应用框架。我要找的答案最终非常简单。 |
推荐文章
|
|
code-geek · Jquery根据单选按钮选择隐藏或显示文本字段 4 月前 |
|
|
Alex · 在轻量级中同时解构和不解构变量 4 月前 |
|
|
Ângelo Rigo · ReactJS映射:如何迭代[关闭] 4 月前 |
|
|
bairog · 从按属性筛选的对象数组字典中创建值数组 4 月前 |
|
|
lokiuucx · JS对象属性返回未定义,尽管对象属性应该有值 4 月前 |