允许用户输入 HTML - 这明智吗？

Question

我的网站允许人们（任何拥有免费帐户的人）输入文本。到目前为止，我一直在删除 HTML 标签等，以确保它们不能输入任何恶意内容。然而现在，客户询问是否可以允许用户输入html。

这背后的想法是，一些用户可能希望添加更复杂的东西，例如表单。他们输入的任何内容稍后都会显示在另一个页面上 - 因此他们可能需要一个其他人可以填写和提交的表单。

我的问题是，这样做有什么风险？显然我会转义字符以降低注入攻击的风险，但我还需要注意什么？

或者这是否太危险以至于我根本不应该这样做？

Answer 1

存在许多风险 - XSS 是最知名的。

如果转义字符，则不会显示 HTML（您将看到 link，而不是链接，例如）。

允许 HTML 成为一种安全的方式非常困难。

考虑使用类似于 StackOverflow 上使用的 Markdown 编辑器 - wmd-new。

Answer 2

一点挑剔的地方...

帮助确保他们无法输入任何恶意内容

永远不要假设您的安全性是完整的:)现在，我们来看看实际的答案...

---

您最大的安全问题是跨站脚本。

这一点是我觉得特别令人不安的：

他们可能想要一个其他人可以填写并提交的表格

提交到什么？他们是否也在以某种方式设计服务器端功能？或者他们正在编写表格以提交给某些外部资源？这听起来很冒险。

然后你会进入诸如 script 标签之类的东西。在这里可以做非常恶意的事情。如果用户足够精明，能够制作自己的 HTML 表单（手动？或者正在使用工具？）以将数据提交到其他资源，那么他们可能足够狡猾，可以编写一些 JavaScript。

使用为此设计的编辑器可以实现简单的标记效果。但形式是一种全新的游戏。这听起来确实很危险。