我目前正在建立一個使用 Firebase Auth 作為其身份驗證系統的網站。當我閱讀有關從用戶個人資料中獲取資訊的檔案時,我遇到了這個文本。
設定(以及稍后顯示)可能面向用戶的 UI 值(如 displayName 和 photoURL)時要小心。API 不會過濾這些值以防止潛在的 XSS 型別攻擊。
我很好奇如何安全地顯示用戶的 displayName 以防止 XSS 型別的攻擊?
uj5u.com熱心網友回復:
displayName由于用戶可以在他們的組態檔中的和值中插入他們想要的任何內容photoURL,因此始終將這些值視為潛在危險并且不要將它們與您的代碼混合是很重要的。
如果您在客戶端應用程式代碼中直接將值插入到 DOM/HTML 中,最好的方法是通過一個屬性textContent來自動編碼任何非文本值。
同樣,在服務器端代碼中,您可以使用您平臺的 HTML 編碼功能,例如.NET 的這個。
有關這方面的更多資訊,請參閱:
- 將用戶輸入顯示為輸入值而不進行清理是否安全?
- 在 HTML 中包含用戶文本輸入的安全方法
- 顯示 HTML 用戶輸入,安全問題
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/443078.html