XSS 是不是可以使用handsontable 而没有 PHP？

Posted 2023-03-22

【中文标题】XSS 是不是可以使用handsontable 而没有 PHP？

【英文标题】：Is XSS possible with handsontable and no PHP?XSS 是否可以使用handsontable 而没有 PHP？

【发布时间】：2013-05-08 05:32:23

【问题描述】：

我的网页有 php 扩展名，但里面没有 php 代码。有handsontable，用户会插入一些数字并在同一页面上获得一些很酷的JS 效果。当我为 cmets 编写代码时，我使用了strip_tags 作为保护，但这对PHP 有效。现在，我很好奇离开handsontable 是否有任何危险？

【问题讨论】：

JS 在客户端计算机上执行。我不认为有任何危险。担心 $_SESSION？

我知道。有可能吗？

如果您不将数据发送回您的服务器，则没有危险。简单的。您可以将简单的 textarea 添加到您的页面中，但没有表单 - 什么都不会发生。 Handsontable 也是如此。

【参考方案1】：

那么问题是，访问者是否可以更改内容以使其他访问者将某些内容加载到他们的浏览器中，而开发人员并不打算这样做。如果它纯粹是客户端并且您不接受任何用户输入，我认为它非常安全。如果您有任何未使用的 php 脚本，请将其删除。

【讨论】：

我确实以某种方式接受用户输入：handsontable 接受值，然后发生一些JS 效果。没有像<?php ... ?> 这样的PHP 代码，但是文件的扩展名是php。是否有可能有人将一些恶意 javascript 输入到可操作的单元格中，这会有什么危险吗？

抱歉回复晚了。我不这么认为，因为您不会接受任何用户输入。 owasp.org/index.php/… 是一个很好的参考。

@Alix Axel 在之前的一次讨论中告诉我，这个xkcd.com/327 仍然可能......