安全

XSS攻击

XSS注入防护重要的是呈现任何内容的时候进行HTML编码,例如<>。

问题

知乎怎样做到的禁用js注入?

  • 知乎的编辑器根本就不允许用户自定义样式、格式,更别说自定义HTML代码了,危险系数极低。
  • XSS攻击可以在任何用户可定制内容的地方进行,例如图片引用,在知乎上发表站外图片的引用,知乎会在服务器自动下载转换为自己的图片。
  • 作为一个UGC网站,知乎提供的内容输入的功能可说是简陋至极,没有太多的XSS攻击需要考虑。

github怎样做到的?

  • markdown起码能支持 等标签吧

discuss也做了吧
-

自己的网站如何做建议xss防护?

  • 可以把comments托管到gist,经审核后再放行
  • 把comments托管到discuss