名侦探柯南事务所
标题:
关于论坛的HTML代码
[打印本页]
作者:
conan0710
时间:
2018-5-16 21:32
标题:
关于论坛的HTML代码
现在还不能给普通用户组开放吗?
作者:
Nicolas-C
时间:
2018-8-3 01:53
这个问题好像一直没有人来回答,以下观点仅为个人看法
我个人还是倾向于支持论坛前台全面禁止使用+解析html代码,也就是目前的现状
开放html代码容易带来的安全隐患,最容易想到的就是使用<script>标签,然后借此写JavaScript脚本
而JavaScript脚本也可以作为给网站挂马的一种方式,被这样恶意使用就不好了
还有一点就是,开放html代码的同时能不能使用<? ?>,目前还不得而知
如果可以,在这组标签内写入的代码将会被解析为服务器脚本语言之一PHP,带来的潜在安全隐患会更大更严重
考虑到上述这些,再加上目前Discuz! 论坛系统的后台无法就html代码的使用进行分级限制(分级限制比如说,“全禁止” “仅开放编辑样式需要使用的标签” “全开放”)
最稳妥的做法仍然是前台全面禁用,任何用户组都不应该豁免
以上,希望有用
欢迎光临 名侦探柯南事务所 (https://bbs.aptx.cn/)
Powered by Discuz! X2.5