名侦探柯南事务所

标题: 关于论坛的HTML代码 [打印本页]

作者: conan0710 时间: 2018-5-16 21:32
标题: 关于论坛的HTML代码
现在还不能给普通用户组开放吗？

作者: Nicolas-C 时间: 2018-8-3 01:53
这个问题好像一直没有人来回答，以下观点仅为个人看法
我个人还是倾向于支持论坛前台全面禁止使用+解析html代码，也就是目前的现状

开放html代码容易带来的安全隐患，最容易想到的就是使用<script>标签，然后借此写JavaScript脚本
而JavaScript脚本也可以作为给网站挂马的一种方式，被这样恶意使用就不好了
还有一点就是，开放html代码的同时能不能使用<? ?>，目前还不得而知
如果可以，在这组标签内写入的代码将会被解析为服务器脚本语言之一PHP，带来的潜在安全隐患会更大更严重

考虑到上述这些，再加上目前Discuz! 论坛系统的后台无法就html代码的使用进行分级限制（分级限制比如说，“全禁止” “仅开放编辑样式需要使用的标签” “全开放”）
最稳妥的做法仍然是前台全面禁用，任何用户组都不应该豁免

以上，希望有用

欢迎光临名侦探柯南事务所 (https://bbs.aptx.cn/)