0
Теперь я думал о том, чтобы превратить свой блог в созданный пользователями блог, где люди могут публиковать свои собственные материалы. Проблема в том, что он делает мой блог уязвимым для инъекций jquery. Я искал и обнаружил, что люди говорят о белых списках и используют сценарии на стороне сервера, но поскольку мой блог размещен Tumblr, где я ограничен CSS, HTML и jQuery, я не уверен, что это решение.Целевые теги скриптов внутри элемента и удалить
Теперь это только часть другие пользователи могут изменять/цель:
<h2><a href="Link" class="Title">
<p>//THIS IS WHERE THE USER GENERATED CONTENT GOES</p>
</a></h2>
И пример этой проблемы было бы, если они решили сделать это:
<h2><a href="Link" class="Title">
<p><script>alert('injected');<script></p>
</a></h2>
Теперь есть в любом случае, чтобы предотвратить превышение сценария выше? Так как я ограничена JQuery Я думал о решении, как:
var ContentWithScript = Anything inside <p></p> tags (or any other way to target it)
$(ContentWithScript).find('script').remove();
Или
$(.Title).getElementsByTagName('p')
var Content=(this)
if Content contains string ('script) {
remove }
Вы пробовали пробную инъекцию, используя приведенный выше код примера? –
Плохая идея. Для выполнения JavaScript вам не нужны теги '