我的应用程序显示一些用户生成的内容,我还需要允许HTML标签。我想知道的是:当将config.xml文件设置为只允许我自己的服务器时,用户/黑客是否仍有可能以某种方式窃取数据?在一个普通的网页上,你可以插入一个脚本来发送一些数据到另一个服务器。但在我的情况下,不可能将该用户的数据传输到第三方服务器。还是我错过了什么?(是的,我仍然会使用php脚本来删除一些html实体。所以这只是一个关于是否可能的问题而不是关于信任其他用户是否是个好主意的问题
世界上的任何攻击者都可以发送任何可以想象的数据,有效或无效,到你的应用程序,不管你认为有什么控制,没有什么可以阻止他们发送任何东西。
只要你相信你已经找到了阻止他们的方法,他们就可以简单地对你的客户端进行逆向工程(步骤1:下载.apk,步骤2:JD-GUI,步骤3:????)第四步:赋予他们想要的任何能力。
如果您需要允许一些 HTML,但又不希望容易受到XSS攻击,传统的解决方案是在向最终用户提供数据时对输出使用HTML净化器。
如果HTML净化器太慢,检查Stauros。Stauros专注于防止XSS,而HTML净化器则有一个更广泛的目标,即输出符合标准的HTML。