0
最近我被要求測試我們公司的內部網站(只有連接到我們網絡的電腦才能訪問)。我意識到,文本字段輸入運行輸入的html代碼。我的老闆說這不是什麼大不了的事。我們記錄每一個變化,所以在不太可能的情況下,員工做了一些事情,我們會知道。我不是一個Web開發人員,所以我的問題是,是否存在某種惡意,因爲這個缺陷可能會對我們的組織產生默默的影響?或者,我的老闆是正確的,任何真正的惡意行爲都會非常明顯並且相當迅速地處理。我們的組織與宗教有關係,並處理大量資金,因此受到關注。接受HTML代碼的HTML文本輸入真的很糟糕,還是很糟糕?
我投票關閉這一問題作爲題外話,因爲它是關於計算機安全,而不是編程。 – duskwuff
也許這對於http://security.stackexchange.com/來說是一個更好的問題。但作爲一般的經驗法則,我不會允許任何腳本從用戶輸入中執行,而無需設置隔離沙箱來運行腳本除非你100%總是信任用戶環境。 – joverall22
我不同意這不是編程。這絕對是程序員*應該非常清楚的東西。在你的表單中允許插入代碼是不好的編程行爲,是程序員*應該擁有的討論。 編輯:我同意部分與joverall22 ...應該避免...雖然我甚至不會在我「100%總是信任用戶」的環境中使用它。用戶有一種「意外」的做法。 – akuta