Я пытаюсь создать веб-читатель RSS. Каналы загружаются в фоновом режиме и сохраняются в базе данных. Я хочу загружать новости из этих каналов, используя jQuery и ajax, чтобы пользователи могли видеть все элементы без обновления веб-сайта.
Я беспокоюсь о безопасности этого решения, потому что кто-то может провозить вредоносный javascript в этих каналах. Что я могу сделать, чтобы предотвратить вредоносный код?
Вы можете кодировать метасимволы HTML:
responseText = responseText.replace(/&/g, '&').replace(/</g, '<').replace(/>/g, '>');
Таким образом, если кто-то скажет, что их зовут "Боб предупреждает" ("haxd")
скажем, у вас есть переменная с responseXML. Все, что вам нужно сделать, это следующее:
$(responseXML.querySelectorAll("script")).remove();
onmouseover
onclick
,onmouseover
и т. Д.? Что насчетjavascript:
схемы URI?