我正在开发一个应用程序,用户可以在该应用程序中提供一个url,用作<img>要素
我需要注意什么才能确保恶意用户不会利用此功能?我已经在转义HTML字符(用&替换">,依此类推(
我想知道JavaScript是否可以从<img>src属性和其他鲜为人知的危险。
我认为这里最大的危险只是来自用户选择的实际图像。在用户选择图像之前,您可能需要将某些域列入黑名单,或向用户提供一些可接受的使用信息,以确保他们不会向其他用户显示成人或其他NSFW内容。分析他们提供的URI并系统地构建图像标签是确保他们不会以任何方式与系统博弈的最佳方式。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium