Discord 让我们能够创建基本上是提交表单的模式。这些模式是否能够抵御 XSS 或 SQL 注入等攻击,以便我们不再需要清理用户输入?
我尝试在我的模态字段之一上执行
<script>alert(1);</script>不。模态是用户输入的一种形式,Discord 确实可能会对它进行一些过滤,但不能保证,如果您在任何数据库查询中或在连接到应用程序的网页上使用用户输入,从模态收集的信息是仍然容易受到常见注入攻击。
如果您担心清理问题,请参阅 OWASP 关于输入清理的一个很好的页面。 https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html