我的網站允許人們(任何擁有免費帳戶的人)輸入文字。到目前爲止,我一直在剝離HTML標籤等,以確保它們不會輸入任何惡意內容。但是,現在,客戶詢問是否可以允許用戶輸入html。允許用戶輸入HTML - 這是明智的嗎?
這背後的思想是,一些用戶可能希望添加更復雜的東西,如窗體。無論他們輸入什麼,都會在另一個頁面上顯示,因此他們可能需要其他人可以完成並提交的表單。
我的問題是,這有什麼風險?很顯然,我會逃避角色來降低注入攻擊的風險,但是我還需要注意什麼?
或者這是如此危險以至於我根本不應該這樣做?
如果表單特別是一個實際建議的用例,您需要考慮表單可以提交到何處 - 只是HTML頁面上的表單不會執行任何操作。 – Random832 2012-01-11 17:43:25