【问题标题】:Use PHP to control user inputted Javascript / HTML / textarea and prevent iframe hack使用 PHP 控制用户输入的 Javascript / HTML / textarea 并防止 iframe hack
【发布时间】:2012-06-12 05:25:04
【问题描述】:

我开发了一个网站,允许用户将小部件嵌入到他们的个人资料中。

这些小部件允许 html 并支持从 youtube 嵌入代码 (iframe) 到 Google Analytics 代码 (JavaScript) 的任何内容。

我最近了解到黑客使用 iframe 和 JavaScript 来利用站点登录和 ftp 访问。

是否有某种 php 解决方案可以集成到我的网站中以避免这些类型的黑客攻击,同时仍然允许用户将 HTML 小部件嵌入到他们的个人资料中?

【问题讨论】:

    标签: php linux security iframe code-injection


    【解决方案1】:

    没有。

    您无法机械地区分所有“好”JavaScript(例如 Google Analytics)和“坏”JavaScript。 (如果没有将您批准的脚本列入白名单,这将不可避免地不允许用户想要的一切,或者将不合适的脚本列入黑名单,这将不可避免地成为打地鼠游戏。)

    您需要停止允许用户将任意 HTML 注入您的网站。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2011-01-16
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-09-11
      • 2011-07-06
      相关资源
      最近更新 更多