Какой смысл безопасности использовать anyLinks: правда с jQuery-терминалом?

Question

Какой смысл безопасности использовать anyLinks: правда с jQuery-терминалом?

Я не могу больше использовать относительную ссылку в jquery-терминале, потому что все ссылки должны иметь протокол ftp или http(s).

Я не совсем понимаю предупреждение https://terminal.jcubic.pl/api_reference.php

Что может произойти, если я использую anyLinks: true вариант продолжать использовать относительную ссылку?

0

security xss jquery-terminal

Источник

user283067 12 окт '18 в 22:17

1 ответ

Решение

Другие вопросы по тегам security xss jquery-terminal

user387194 14 окт '18 в 13:27 2018-10-14 13:27 · Accepted Answer · 2018-10-14 13:27

Если вы не отвечаете на запросы пользователя и не отправляете это другим пользователям, например, с помощью приложения чата, или если вы не получаете сообщения от пользователей и команд exec (используя опцию execHash), это не влияет на безопасность.

Если вы делаете эхо от пользователя, то пользователь может поставить [[!;;;;javascript:alert("xss")]xss], если вы также разрешите форматирование от пользователя. Так что вы будете в безопасности, если будете использовать это:

$('body').terminal(function(text) {
   this.echo($.terminal.escape_brackets(text));
});

и ты тоже будешь в безопасности.

А если вам нужно отгадать информацию от пользователей и разрешить форматирование, вам нужно проверить ввод пользователя, как при обычном предотвращении XSS, но строки будут другими.