0
理想情況下,我希望允許用戶像編輯tumblr一樣編輯HTML,您可以在瀏覽器中編輯主題HTML。你也得到完全控制。我聽說過諸如html-purifier之類的工具。允許用戶編輯和存儲HTML
除了「淨化」HTML以外,還應採取其他措施。
A
回答
1
前幾天我問了一個similar question哪些可能對你有幫助。
我會將所有用戶生成的HTML存儲在另一個域/子域中,以避免cookie被竊取並使您的cookie成爲HttpOnly,以便它們無法通過JavaScript進行訪問。您可以在主域名上設置您的Cookie(用於身份驗證等),而無需子域名。另外,您可以使用CSRF令牌來避免自動濫用。
如果你想禁止有害的代碼/ JavaScript,你必須過濾你的HTML,如果你這樣做,你應該白名單所有允許的標籤,而不是黑名單禁止標籤(因爲新的HTML5來了,甚至瀏覽器 - 具體的)。
另一個挑戰是過濾屬性(像onclick這樣的事件屬性允許執行JavaScript)。
另一個用戶也呼籲我注意Content Security Policy這是一個頭(但不幸的是只有少數瀏覽器支持)。
但這取決於您想給用戶多少自由。
相關問題
- 1. 允許用戶編輯CSS
- 2. 顯示字段,允許按鈕編輯和保存html
- 3. 只允許某些用戶編輯ASPxGridView
- 4. 管理員用戶允許刪除和編輯其他用戶
- 5. 如何存儲用戶信息並允許用戶編輯,管理和刪除它
- 6. Pypi:不允許存儲或編輯包裹信息
- 7. MVC5:允許用戶只查看和編輯自己的信息
- 8. AWS僅允許用戶訪問彈性beanstalk實例和存儲
- 9. EditText不允許編輯
- 10. TextField不允許編輯
- 11. 形式不允許編輯
- 12. 是否有可能允許用戶在angularjs應用程序中編輯和保存html模板
- 13. 允許用戶無需編輯帳戶:url中
- 14. 允許用戶編輯帳戶,而無需身份在網址
- 15. 用戶具有MySQL權限但僅允許選擇,但phpMyAdmin允許編輯
- 16. 允許用戶在C#asp.net應用程序中編輯文本
- 17. HTML - MongoDB不允許保存
- 18. 當允許用戶編輯他們的模板時,freemarker安全
- 19. 允許在表1中用戶編輯表2中的PHP/MySQL
- 20. QTableView - 不允許用戶編輯單元格
- 21. 允許單個用戶一次編輯Google電子表格
- 22. 允許用戶編輯只有頁面內容,並在WordPress
- 23. 允許用戶編輯/添加/移動圖像中的項目
- 24. 只允許用戶編輯自己的內容
- 25. 允許用戶只編輯他們的奏鳴曲
- 26. 什麼,允許用戶編輯網站維基風格
- 27. 允許應用引擎服務帳戶編輯日曆
- 28. 允許用戶編輯UITableView單元格中的文本
- 29. Winforms Combobox - 不允許用戶編輯項目
- 30. 允許用戶僅編輯Ruby on Rails上的一些字段
MySQL與它有什麼關係? – 2012-07-15 21:11:31
這一切都取決於你想讓你的用戶做什麼。你必須提供更多的細節來得到具體的答案。是否有任何與您有關的特定場景?實施淨化方法遇到麻煩嗎? – Lix 2012-07-15 21:13:17
它必須存儲在某處,因此mysql標記。 – 2012-07-15 21:28:12