0
我需要加載給定URL的用戶,並在用戶給出網站內容後顯示帶有我的內容的div。顯示來自其他網站的內容和安全
實現,這將是微不足道的:
$c = file_get_contents($url);
echo $c . $myDivCode;
然而,就不會這樣開我的服務器到各種安全問題,如跨站腳本?
如果是這樣,考慮到處理這個問題的最好方法是什麼,我希望能夠儘可能地顯示給定URL的用戶內容(即運行所有安全腳本)。
A
回答
1
最好的辦法可能會是在那樣一個iframe來顯示網站:
echo "<iframe src=\"$url\"></iframe>";
這樣用戶直接從URL加載頁面,沒有你的服務器代理它。 但是,由於您顯示的是其他網站的信息,因此除非您完全刪除腳本和HTML,否則您的網站將始終容易受到XSS的攻擊。
0
當然你可以打開xss漏洞利用。
爲防止XSS攻擊,您只需檢查並驗證/正確地轉義所有數據,不允許從該URL插入html或javascript代碼。
使用htmlspecialchars()將HTML字符轉換爲HTML實體。因此,標記開始/結束標記的字符會變成html實體,您可以使用strip_tags()僅允許某些標記,因爲函數不會去除onclick或onload等有害屬性。
相關問題
- 1. 顯示來自其他網站的內容並跟蹤網址
- 2. Wordpress插件顯示來自其他網站的新內容
- 3. 顯示來自其他網站的內容
- 4. 顯示來自其他域的內容
- 5. 顯示來自Widget網站的內容
- 6. 如何顯示來自其他網站的內容(在同一個域上)?
- 7. 顯示來自其他站點的HTML
- 8. 網站全部內容未顯示
- 9. 停止訪問來自其他域的網站內容
- 10. SSL例外,用我的網站上顯示不安全內容
- 11. 如何在我自己的網頁上顯示來自其他網站的內容?
- 12. 如何顯示來自其他網站的RSS訂閱源
- 13. 如何使用其他網站內容自動更新網站?
- 14. 顯示來自其他網站在我的Drupal站點中使用RSS的內容
- 15. 顯示來自http://fpdownload.adobe.com/crossdomain.xml的不安全內容
- 16. 顯示來自其他域的具體內容
- 17. 在wordpress主頁上顯示來自其他頁面的內容
- 18. 其他部分不顯示來自php的內容
- 19. 顯示來自其他網站的圖片顯示奇怪的圖片
- 20. 刮網站內容與安全登錄
- 21. HTTPS加載其他網站內容
- 22. IIS防止自我託管網站上的其他網站內容的盜鏈
- 23. 想在我的網站打開其他網站內容
- 24. 如何從其他網站自動提取表格的內容?
- 25. IE:封鎖的網站無法顯示安全證書錯誤的內容
- 26. Android AdMob顯示不安全的內容
- 27. Webview顯示不安全的內容
- 28. iOS,在網絡視圖中顯示來自網站的特定html內容
- 29. 從其他網站顯示div
- 30. sharer.php不顯示其他一些網站