【发布时间】:2017-03-23 21:44:18
【问题描述】:
我们正在运行一个以纯 HTML 格式存储一些内容的旧版 CMS 系统。现在使用 http 从我的 angular 1.5 应用程序中获取此内容并显示在页面上。我现在应该在将它添加到页面之前对这个 HTML 进行 senatize 吗?如果是,如何?如果不是,为什么不呢?
【问题讨论】:
我们正在运行一个以纯 HTML 格式存储一些内容的旧版 CMS 系统。现在使用 http 从我的 angular 1.5 应用程序中获取此内容并显示在页面上。我现在应该在将它添加到页面之前对这个 HTML 进行 senatize 吗?如果是,如何?如果不是,为什么不呢?
【问题讨论】:
这取决于谁可以输入 HTML。如果只有授权的个人可以输入内容,您可以对其进行清理,以便将其显示在页面上......但是这可能会导致页面上的错误,当语法不正确时,如果可以避免,我不建议这样做。
如果内容可以来自任何人,你绝对不应该将它插入到你的页面中,它会为 XSS 攻击打开它!
观看此视频,了解攻击如何接管您的网站:https://www.youtube.com/watch?v=U4e0Remq1WQ
【讨论】: