0
我正在做一个聊天室网站,目前用户可以输入他们喜欢的任何内容到输入框并发送给所有在线用户。但是恐怕不安全,一旦有坏人发送恶意html/javascript代码来打破所有其他用户?如何避免恶意发送聊天室应用程序
如何避免这种情况发生?
A
回答
3
大家都说已经是对的;您需要在将所有数据发送给用户之前对其进行编码。
我只是想补充一点,虽然:确保你做这个编码服务器上,与正在使用的Web框架提供了一个内置的(因此,完善的测试)方法。
不要尝试在客户端的JavaScript中执行此操作;用户可能会输入更多的恶意代码,这会破坏JavaScript本身。
而且,不尝试“滚你自己的”编码机制,也没有尝试使用黑名单方法,在那里你尝试找到只有某些“坏”的东西有人能进入,而取代它们。你永远无法猜测所有'坏事'是什么。
你不提你的web框架,但大多数有一个内置的HTML编码整个字符串,该字符串将在浏览器中显示的字面上,无论什么含量是它的功能。
1
一种方法可能是将所有的HTML转换为操作码。因此,而不是发送<您发送<等
这样的代码将显示为它键入,但不应执行。
2
确保你编码为你发送的所有内容,无论如何你都要这样做。例如,如果用户输入<,则可能希望它显示为<,而不是启动HTML标记。因此,如果将输出结果放在HTML页面中,则需要将其转义为<。这具有防止人们在HTML标签中输入的奇妙效果(并且如果他们不能发送HTML,则发送script标签将会非常棘手)。
的最低限度你需要编码,甚至只是为了有输出是正确的(更谈不上防范恶意输出)< =><和& =>&。我总是也做> =>>以及只是为了彻底,因为我总有一天无法想到,不知何故,这很重要。 :-)
1
如果您使用的是PHP,您可以使用strip_tags()这将删除您指定的任何标签,但如果您选择允许它,仍然允许使用一些HTML。
+0
'strip_tags()'可能不是他想要的。例如,有时候人们可能会输入'
+0
我只是抛出了我的回答,以防万一这适用于他。也许他不想要任何标签,在这种情况下它并不重要?如果他确实需要一些标签,你仍然可以通过正则表达式或其他一些最小的额外代码去除属性。 – 2010-11-19 15:54:46
相关问题
- 1. 聊天应用程序,如何避免混淆输出
- 2. 在聊天应用程序中发送多聊天通知
- 3. Android聊天室应用程序
- 4. 如何避免恶意请求漏洞
- 5. 通过聊天室为聊天室应用程序实现HAProxy负载均衡
- 6. 程序员的聊天室
- 7. 如何在聊天应用程序中发送媒体内容?
- 8. 在开发聊天应用程序时避免使用html危险标签
- 9. 聊天程序 - 发送不起作用
- 10. node.js socket.io应用程序 - 如何从聊天室踢人?
- 11. 如何使用xmpppy将消息发送到聊天室?
- 12. 的Red5的WebSocket聊天应用程序支持多种聊天室
- 13. Android聊天应用程序开发
- 14. 高并发聊天应用程序
- 15. 如何使聊天应用程序,一对一聊天UI
- 16. 聊天应用程序的“发送”按钮不起作用
- 17. Android聊天应用程序
- 18. JavaFX聊天应用程序
- 19. ASP.NET聊天应用程序
- 20. 当我发送消息时,Socket.io聊天应用程序刷新
- 21. Android蓝牙聊天应用程序和发送Spotify歌名
- 22. xmpp是否适用于聊天室应用程序(不是Messenger)?
- 23. 如何避免恶意使用下载属性?
- 24. 如何在j2me中使用WAP开发聊天应用程序?
- 25. Android工作室的Firebase聊天应用程序
- 26. 创建聊天室应用程序的问题
- 27. 错误Filetranser iphone phonesgapgap应用程序与serverside聊天室mvc
- 28. 客户端服务器tcp/ip聊天室应用程序
- 29. Android上没有openfire的聊天室应用程序
- 30. 如何发送文件给其他人在小nodejs聊天应用程序
我正在使用flup编写python cgi。你有什么建议吗? – 2010-11-19 15:03:36