0
比方說,在我的網站上,登錄後,您只進入了「僅限會員」部分,我會從之前放入的數據庫中提取一些數據並將其顯示在頁面上。如果只有你可以看到它,是否會有惡意注入你以前輸入的js代碼?我的網站會員部分是否存在惡意的XSS攻擊?
所以我的網站上,你可以把
<script>alert('hi')</script>
到你的地址,例如和顯示你的地址在頁面上,這確實會運行,但它是你把在,只有你能看見的東西。
所以我試圖決定我應該如何擔心這個問題,但我無法想象用戶可以將自己的數據放入他們自己的數據中,只有當他們想要傷害其他用戶時纔會看到他們。
爲什麼不過濾用戶輸入? – Herr
我當然可以,但我只是好奇,如果我不這樣做,最糟糕的情況會發生。我需要保持警惕,以驗證只有他們可以再次看到的用戶輸入? – powlette
可能發生的最糟糕的情況是,有人可能劫持一個會話並訪問用戶帳戶和其他東西可訪問的有感知性數據,但真的值得投入大量時間來編寫這種安全代碼嗎?我懷疑它:)考慮使用像codeigniter這樣的框架,默認做了很多過濾 – Herr