对于我的post实体,我将HTML和MARKDOWN存储在数据库中(HTML从MARKDOWN转换).HTML用于在页面上呈现,而MARKDOWN用于编辑功能(使用WMD).我在存储到db之前清理HTML.问题是:我是否应该对降价进行消毒?或者它是xss安全的,如果我只传递给wmd编辑器?
Markdown可以包含任意HTML; 这是明确允许的.因此,在发送给Web客户端之前,您应该对其进行清理,或者至少清理将其转换为HTML的结果.
我记得早期使用SO的一个漏洞就是你可以把JS内容放在Markdown中,而编辑你文章的人会在预览中触发这些脚本.我不知道这是否已修复.
京公网安备 11010802040832号 | 京ICP备19059560号-6 