Code Monkey home page Code Monkey logo

Comments (9)

killme2008 avatar killme2008 commented on July 29, 2024

可以增加一个选项,例如 encodeUserInput option之类。

from js-realtime-sdk.

sunng87 avatar sunng87 commented on July 29, 2024

我觉得不用,有点超出库的范围了。XSS 是个 html 层面的事物,我们的库是个通信层面的库。我们在demo和未来的 UI 组件上可以做这个功能。现在我们连接上传输的内容不完全是最终会放在页面上的内容,替换<这些可能导致消息内容甚至格式变化。成熟的用户使用模版引擎的时候,这件事会在模版引擎层面做掉,如果我们在通信库层面做了,内容会被二次转义。

from js-realtime-sdk.

wangxiao avatar wangxiao commented on July 29, 2024

我很担心很多用户并不知道在 Web 上面要做 HTML 转义防止 XSS,同意晓丹的建议,我增加一个选项。但是默认是做 HTML 转义的,这样也能够说下我们的 SDK 是注重安全的。也能够支持宁姐的用法吧?成熟的用户知道要去关掉。

from js-realtime-sdk.

killme2008 avatar killme2008 commented on July 29, 2024

我个人觉的这个选项应该是默认关闭的,作为高级功能提供, js sdk 的文档需要增加一个单独的安全章节说明。

在 2015年3月31日 下午10:24,尼奥 [email protected]写道:

我很担心很多用户并不知道在 Web 上面要做 HTML 转义防止 XSS,同意晓丹的建议,我增加一个选项。但是默认是做 HTML
转义的,这样也能够说下我们的 SDK 是注重安全的。也能够支持宁姐的用法吧?成熟的用户知道要去关掉。


Reply to this email directly or view it on GitHub
#54 (comment)
.

庄晓丹
Email: [email protected] [email protected]
Site: http://fnil.net
Twitter: @killme2008

from js-realtime-sdk.

wangxiao avatar wangxiao commented on July 29, 2024

加一个不停 XSS Demo 的用户进来讨论。。。 @zswang

from js-realtime-sdk.

wangxiao avatar wangxiao commented on July 29, 2024

我主要是考虑场景:

用户会在 Web 端使用,如果这样那他一定会做 XSS 防御,不管这个防御是在哪,他一定会去做。
所以感觉 SDK 默认防止 XSS 更好些,返回给他干净的字符串,用户可以通过配置不开启此功能。

from js-realtime-sdk.

zswang avatar zswang commented on July 29, 2024

不需要吧,你怎么知道哪个 json 是用来渲染的?不做渲染的 json 你编码了。。。这不是又一个坑。

from js-realtime-sdk.

wangxiao avatar wangxiao commented on July 29, 2024

一般不会有用户传递纯 HTML 吧?如果需要这样用,那就需要手工关掉是不是更好些?

from js-realtime-sdk.

wangxiao avatar wangxiao commented on July 29, 2024

最后支持 HTML 转义,防止 XSS,但默认不开启。
wangxiao@15eff2b

from js-realtime-sdk.

Related Issues (20)

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.