ホームページ > バックエンド開発 > PHPチュートリアル > 微信编辑器好像可以使用代码耶,但是估计XXS是不可能的,我想知道微信是怎么过滤处理我们的编辑提交的数据的呢?

微信编辑器好像可以使用代码耶,但是估计XXS是不可能的,我想知道微信是怎么过滤处理我们的编辑提交的数据的呢?

WBOY
リリース: 2016-06-06 20:20:46
オリジナル
1331 人が閲覧しました

微信编辑器好像可以使用代码耶,但是估计XXS是不可能的,我想知道微信是怎么过滤处理我们的编辑提交的数据的呢?

比如我写个 <img src="" onclick="alert(1)" alt="微信编辑器好像可以使用代码耶,但是估计XXS是不可能的,我想知道微信是怎么过滤处理我们的编辑提交的数据的呢?" >

微信后台是怎么处理这样的情况的呢?

允许我们使用HTML代码是的图文内容形式丰富,但是却又要规避风险,我想知道类似的这种情况是如何处理的。

希望有经验的大神指点一下哈,谢谢了!

回复内容:

微信编辑器好像可以使用代码耶,但是估计XXS是不可能的,我想知道微信是怎么过滤处理我们的编辑提交的数据的呢?

比如我写个 <img src="" onclick="alert(1)" alt="微信编辑器好像可以使用代码耶,但是估计XXS是不可能的,我想知道微信是怎么过滤处理我们的编辑提交的数据的呢?" >

微信后台是怎么处理这样的情况的呢?

允许我们使用HTML代码是的图文内容形式丰富,但是却又要规避风险,我想知道类似的这种情况是如何处理的。

希望有经验的大神指点一下哈,谢谢了!

提交文章的时候看看提交的参数就知道了。简单来说就是转义:<script></script>标签肯定会被转义,你说的这种情况也会被转义,另外没有超链接权限的公众号中的<a></a>标签也会转义。而且参数会在浏览器中和提交到服务器上时过滤两遍,所以想通过自己构造请求来提交非法代码的愿望也是无法实现的。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート