跳转到主要内容
一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/224921

 

Drupal的输入格式提供的各种福利。它们可以用来提高您的网站的功能,但主要目的之一是要确保您的网站上输入的数据是安全的网站的访问者。例如,如果你允许匿名评论“HTML全文”输入格式,访问者可以添加一个不适当的图片或恶意JavaScript代码能够改变你的密码在网站上。

默认的输入格式的配置和权限是安全的。有很多的事情,你可能会改变,这可以让他们不安全的情侣:

  1. 添加标签输入过滤器是不允许使用的角色特别小心脚本,IMG的IFRAME,嵌入,对象,输入时,LINK,风格,中继,框架集,DIV,SPAN的基础,表,TR,运输署,标签。
  2. 重新安排的过滤器的顺序,特别是不可信的用户(匿名,或那些低级别的角色),你会希望有组过滤器的HTML过滤器运行。
  3. 更改过滤器上的权限,你应该只允许注册用户,您先进的标签(上述第1项)和“HTML全文” 信任。

虽然这是诱人的,尤其是当使用WYSIWYG编辑器,以使更多的标签为匿名用户或允许“HTML全文”这将导致不安全的站点。然后,它仅仅是一个时间和运气的问题,直到您的网站是妥协,或用来攻击其他网站。

这页的基础上从咨询Feedparser.org的HTML消毒R-蛇的XSS漏洞列表。如果有变化从一个区域到另一个标签的想法,请首先阅读这些网页。