mysqlデータベースのカラムに個人のJavaScriptコードを格納するための準備をするとクロスサイトスクリプティングのような問題はありますか?私たちはmysqlデータベースのいずれかのカラムにJavaScriptコードを格納できます
twitterにmysqlデータベースがあり、ユーザが自らのプロファイルに独自のGoogle Adsense広告を表示できるようにすると、独自のJavaScriptコードをデータベースにアップロードするオプションが与えられます。データベースにとっては致命的ですか?
はい、できますが、どのような種類のスクリプトが含まれているかを制御できないため、悪い考えです。
ユーザーが別のフィールドにGoogle AdSense IDを挿入して、JSスニペットを挿入するようにすることをユーザーに許可することをお勧めします。識別子には、そのような識別子で許可されている文字のみが含まれていて、JSコードやHTMLタグは許可されていないことを確認してください。
私は自分のサイトでSSLを使うことになる。それらがSSLで保護されているかどうか確認してください –
@RobbieDc:SSLをチェックするよりも**複雑な問題です。あなたのコードがあなたのサイトに制限なしで含まれることを許可すれば、あなたはXSSに完全に脆弱です。つまり、彼らはあなたのクッキーを読んだり、サイトのHTMLを変更したり、ユーザーを追跡したりできます。悪いアイデア**です。 – Tadeck
データベースに格納されている内容は、データベースには関係ありません。 – ain
yeah.thats right ..しかし、私はそのようなことを許可すれば、私のアプリがどれほど脆弱になるかチェックしたいと思った。 –