为啥防范xss要过滤发帖内容,照单全收后显示时直接放到\u003ciframe sandbox security=restrict\u003e中不就行了
半桶水来试答:1,iframe sandbox security是HTML5的新特性,浏览器兼容上可能存在问题。2,如果可以用iframe就必然有引用源(src),而且由于是发帖,必须存储在服务器上,如果直接访问这个src不就可以触发里面的脚本了?这不就把祸害引入家中,只是锁起来而已
■网友
【为啥防范xss要过滤发帖内容,照单全收后显示时直接放到\u003ciframe sandbox security=restrict\u003e中不就行了】 iframe 的性能问题问题是一个原因,还有一个原因是浏览器迟迟不支持 seamless 属性,导致适应宽度与高度很困难。
■网友
你能保证你的用户100%都是使用支持这个特性的现代浏览器?
推荐阅读
- 注意防范!北京发布大风蓝色预警信号
- 为啥看到书柜上的藏书会有心旷神怡的感觉
- 为啥知乎上普便有一种【我在北上广深打工,所以拥有更好的视野】这样的错觉
- 为啥工商银行的用户体验如此之差
- 汽车|看了中消协4S店服务测评调查结果,终于知道法系车为啥卖不好了
- 你为啥从窝窝商城离职?
- 为啥5G和2.4G默认的BSSID是相同的
- 为啥电器实体店的价格比淘宝贵那么多
- 现在在线学习视频有很多了,为啥大部分人还是喜欢下载下来观看
- 为啥到现在你还没有女朋友 ?