最近我被要求测试我们公司的内部网站(只有连接到我们网络的电脑才能访问)。我意识到,文本字段输入运行输入的html代码。我的老板说这不是什么大不了的事。我们记录每一个变化,所以在不太可能的情况下,员工做了一些事情,我们会知道。我不是一个Web开发人员,所以我的问题是,是否存在某种恶意,因为这个缺陷可能会对我们的组织产生默默的影响?或者,我的老板是正确的,任何真正的恶意行为都会非常明显并且相当迅速地处理。我们的组织与宗教有关系,并处理大量资金,因此受到关注。接受HTML代码的HTML文本输入真的很糟糕,还是很糟糕?
0
A
回答
1
是的,这可能是一个问题。如果它运行HTML代码,那么任何攻击者都可以输入他们自己的脚本(使用脚本标记)并运行他们自己的程序(有多糟糕,取决于所做的事情)。如果他们输入的代码保存到网站,并在有人访问该网站的该部分时运行,那么这是一个很大的(呃)交易。他们可以注入他们的恶意代码并影响每个人。它被称为XSS(跨站点脚本)。如果一切都被记录下来,那么它可能会抓住它们,但是直到它被发现以及有多少人受到影响才能成为问题。更多信息请参见下面的链接。
+0
好的,我没有考虑过运行脚本。这绝对是非常危险的,虽然我喜欢认为我们的员工相当值得信赖,但任何知道这一点的人都会造成相当大的损失。感谢大家,我会和老板讨论解决问题的方法。 – Edward
相关问题
- 1. 兰特()真的很糟糕吗?
- 2. ArrayAdapter的行为很糟糕
- 3. 糟糕的CSS导致真的很糟糕的布局在小设备上
- 4. 在前端解析HTML是不是很糟糕的形式?
- 5. 公有变量是不是很糟糕?
- 6. UIView的变换看起来很糟糕
- 7. Android的横向模式很糟糕
- 8. 在html中使用<style>和<script> ...是否真的很糟糕?
- 9. 施力真的很糟糕,应该总是避免它?
- 10. GTK +菜单栏看起来很糟糕
- 11. PHPExcel公式变得很糟糕
- 12. 我的代码是草率/糟糕吗?
- 13. C++连接糟糕
- 14. 为什么Java Swing html字体渲染看起来很糟糕?
- 15. Laravel上的PHP对于高流量来说真的很糟糕
- 16. Codeigniter中的助手类 - 他们真的很糟糕,为什么?
- 17. 这个Ruby类的设计真的很糟糕吗?
- 18. Apache基准真的很糟糕,有什么建议吗?
- 19. 在c#中使用var真的很糟糕?
- 20. 在MVC中使用会话对象,它真的很糟糕吗?
- 21. 非确定性运行时间真的很糟糕吗?
- 22. 反馈+糟糕的输出
- 23. HTML消毒 - 糟糕的标记?
- 24. 改变jButtons的功能是不是很糟糕的设计?
- 25. 糟糕的表现
- 26. setShared导致文本到图层并且看起来很糟糕
- 27. 转换糟糕的伪代码到Java
- 28. 此代码的糟糕表现
- 29. SQL存储过程性能很好SQL2008,但在SQL2005很糟糕
- 30. 糟糕的GPU能否导致Flash游戏的糟糕表现?
我投票关闭这一问题作为题外话,因为它是关于计算机安全,而不是编程。 – duskwuff
也许这对于http://security.stackexchange.com/来说是一个更好的问题。但作为一般的经验法则,我不会允许任何脚本从用户输入中执行,而无需设置隔离沙箱来运行脚本除非你100%总是信任用户环境。 – joverall22
我不同意这不是编程。这绝对是程序员*应该非常清楚的东西。在你的表单中允许插入代码是不好的编程行为,是程序员*应该拥有的讨论。 编辑:我同意部分与joverall22 ...应该避免...虽然我甚至不会在我“100%总是信任用户”的环境中使用它。用户有一种“意外”的做法。 – akuta