用户可以在 src属性中执行哪些恶意操作?
问题描述 投票:1回答:1
我正在开发一个应用程序,用户可以在元素中提供用作src的URL。
我需要注意些什么,以确保恶意用户无法利用此功能?我已经转义了HTML字符(用“]]替换”,依此类推)。
我想知道诸如JavaScript是否从 src属性运行以及其他鲜为人知的危险。
我正在开发一个应用程序,在该应用程序中,用户可以提供一个URL用作元素中的src。我需要注意什么样的事情,以确保恶意用户无法利用...
1个回答
1
投票
投票
我认为这里最大的危险只是来自用户选择的实际图像。您可能希望将某些域列入黑名单或为用户提供一些可接受的使用信息,然后再选择图像,以确保它们不会向其他用户显示成人或NSFW内容。解析他们提供的URI并系统地构建图像标签是确保他们无法以任何方式玩游戏的最佳方法。
最新问题
- 在 Raspberry Pi 4 b 上运行 waydroid
- 无法在 VSCode 中打开 sqrtie 数据库文件
- HPOS - 自动删除 Woocommerce 中超过 3 个月的已完成订单
- 使用抽象类时无法绑定输入(2+层次结构)
- 如何运行预先编写的 lldb 命令?
- HotChocolate 和 DateTime Enumerable 中的过滤
- 为什么基于条件的过滤会导致 pandas 中的 DataFrame 为空?
- sceneView.pointOfView绕根节点的轴旋转
- 双击.sln时如何使用/noscale参数打开VS?
- 我怎样才能在flutter中绘制一个自定义形状,如左上角,如下图所示
- 无法使用 jQuery 更新 React 渲染的 DOM 类
- 使用 SwiftUI 在背景图像上方放置顶部栏
- AWS:找不到 iam 的实例元数据
- 删除特定 ID 组内 7 天内的相互观察结果
- 嵌套循环的并行处理在 R 中无法正常工作
- 预处理器和链接器的功能不明确
- Ionic Storage(Ionic 8、Angular 17)错误:`ERROR NullInjectorError:NullInjectorError:没有存储提供程序`
- 如何使用 Swift 创建自定义 IOS unnotificationTrigger?
- ModuleNotFoundError:在 postgres DB 上进行 makemigrations 时没有名为“psycopg2”的模块
- ValueError:无法同步创建数据集(名称已存在)
© www.soinside.com 2019 - 2024. All rights reserved.