1樓:梁丞胤
2樓:熊貓俠
sql注入:預處理完美解決
XSS:
不能使用html標籤就沒有xss的可能,既不能css樣式攻擊也不能js指令碼攻擊。
使用bbcode/markdown類似,符合格式的轉為html,不符合格式的直接轉為html實體
過濾高風險標籤,如script/a/img等,允許某一些低風險的標籤存在,如b/span/p等
過濾危險標籤屬性,如mouseover/onload/onclick/src/href等,允許某一些低風險的屬性,如id/name,而style等屬性需要特殊處理,如:檢查position避免絕對布局影響頁面布局,檢測font-size字型太大影響頁面美觀等等等。
discuz/phpwind為bbcode;mediawiki為類markdown和允許部分標籤和屬性。
3樓:
SQL注入:由於內容不涉及條件查詢,所以編輯器不用防SQL注入
XSS:轉義部分能執行JS的HTML 如
4樓:習習谷風
SQL 注入漏洞,在 PreparedStatement 出現後,已經沒有什麼發揮空間了,因為一旦完成預編譯,則 SQL 語句的語義不可改變。同時Web 應用使用的資料庫連線賬戶沒有 DDL 等命令的許可權,進一步降低風險。
XSS 一直沒有一致的解決方法。一般來說主要控制尖括號「<」和「>」。因為內容本身不構成攻擊,嵌入指令碼前必須得生成 DOM 元素。
當然這兩個符號還是小於和大於符號,不可能直接就遮蔽這兩個括號。因此設計過濾規則的時候比較麻煩。
如果知乎的文字編輯器自帶字元表情功能會怎樣? ?
僧訥坊 什麼 自帶字元表情功能?這簡直 太棒了 對於我這種不太擅長說話 有時候說著說著就容易被人誤會是在暗諷的人來說 有這個功能簡直是讚到掉渣 大家都用可愛的表情的話 友善度絕對會上來的啦 也能準確分辨萌妹子啦 3 然後勾搭萌妹子 而且有時候觀點發生碰撞 皿 就不用問候對方的友善度了,直接醬 醬 一...
知乎的移除話題,有必要這麼麻煩嗎,如何做才更加合理呢?
李奇 給問題新增話題的瞬間該問題就已經被傳播,即使後來有人將該話題從問題中移出,此問題也已經被傳播。在提問之後對問題上的話題所作的操作是為了將該問題移動至合適的話題中儲存供後來者查閱,而非限制流通。對於話題移除所有的知乎使用者都可以操作,他們會將他們認為不合適的話題從該問題上移除,因此並非只有知乎員...
在知乎的年輕人是如何做到回答某些 深刻 問題的?
W小哥 深刻,也許是記憶中自己最難忘的某個瞬間,某件事情,某個人,某個心跳加速的時候。人生匆匆,遇見的人,遇到的事,遇到的每個觸動心靈的人與事。也許人生非常短暫,非常漫長,非常多的酸甜苦辣,煩惱的,開心的,痛苦的,充滿汗水和淚水的,我們為之去努力過,堅持過,只是為了讓自己不後悔。年輕即出發,為自己的...