---

※ 引述《JokerCatz (JokerCatz)》之銘言：
: 他的回覆是因為上級和設計部門，也就是主事者說不能關，要給人玩HTML語法
: 我這邊對他說我願意提供程式，讓使用者可以玩基本的HTML，但JavaScript絕對不行
: 可是回覆是說...一定要給人玩，全部，不能關

其實這種漏洞一堆,只是網站經營的性質需不需要迫切處理而已,
真的有心html一樣可以把整個網頁版面給搞爛掉,
就算有用javascript有的人可能也只是想玩點有趣的畫面特效增加效果,
所以到底該不該濾呢?

如果是sql inject的那種漏洞,又是牽涉到直接商業營運買賣的那種網站類型,
這就很大條,如果是啥論壇.留言板有跟資金運作無關的網站,
說真的禁了,一得一失間也未必好,真的要禁也不需要啥你的程式碼,
google正規比對的code把某些tag給replace掉就好...

但是我對某些太超過的過濾很感冒就是...以我使用者的立場,
我既不會惡意加一些有破壞性的內容,但是我也不想被限制內容,
除非過濾程式真的聰明到能夠判斷哪種javascript有害無害.
哪些html語法有問題會破壞版面,不然在自由與安全性上的兩難本來就無解,
端看管理者取決,而非真的是啥技術上多難處理的問題.

好比說我就對一些blog的管制很感冒..


結果對方不理會你,讓自以為正義的你大失所望,也得不到成就感,

於是隔天開車去輕撞,把對方撞下車,跟對方說...
你看看我不是說騎機車不戴安全帽很危險嗎?我這次輕撞不是要傷害你,


不知道這個比方貼不貼切.







--
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 編輯: erspicu         來自: 60.248.56.181        (02/20 13:35)

※ Deleted by: erspicu (61.70.79.227) 02/24/2013 13:22:31

--