脚本注入问题解决方案

我的博客回复区被注入脚本,导致评论下边的回复都是脚本和混乱字符,应该是别人注入脚本攻击的。

解决这个问题分三步走:

1 web层调用js判断页面是否为已登录状态

2 在回复请求发送给服务器的同时携带token或者cookie

3 服务器也要加上判断,判断请求是否合法

4 清楚被脚本注入的垃圾评论

目前先将第一个实现了,2,3留作以后不忙的时候补充即可。

那么下面要修正的问题是被污染的回复,我的回复和评论写在一张评论表里,评论和回复的不同之处在于评论的parent字段是文章id,而回复的parent字段则是其父节点评论id,评论和回复都有一个字段是artid,表示所属文章id。

所以根据这个思路只要在评论表里找出那些artid和parent不相等的条目即可。

mongodb比较两个字段是否相等可以通过如下代码

db.comments.find({$where:"this.parent !=this.artid"})

所以批量删除就很简单了

db.comments.deleteMany({$where:"this.parent !=this.artid"})

所以,以后我们为了防止脚本注入,一定要验证输入来源的合法性,并且过滤其中的脚本信息等。服务器也要增加验证。

results matching ""

    No results matching ""