※ 引述《JokerCatz (JokerCatz)》之銘言： : 他的回覆是因為上級和設計部門，也就是主事者說不能關，要給人玩HTML語法 : 我這邊對他說我願意提供程式，讓使用者可以玩基本的HTML，但JavaScript絕對不行 : 可是回覆是說...一定要給人玩，全部，不能關 其實這種漏洞一堆,只是網站經營的性質需不需要迫切處理而已, 真的有心html一樣可以把整個網頁版面給搞爛掉, 就算有用javascript有的人可能也只是想玩點有趣的畫面特效增加效果, 所以到底該不該濾呢? 如果是sql inject的那種漏洞,又是牽涉到直接商業營運買賣的那種網站類型, 這就很大條,如果是啥論壇.留言板有跟資金運作無關的網站, 說真的禁了,一得一失間也未必好,真的要禁也不需要啥你的程式碼, google正規比對的code把某些tag給replace掉就好... 但是我對某些太超過的過濾很感冒就是...以我使用者的立場, 我既不會惡意加一些有破壞性的內容,但是我也不想被限制內容, 除非過濾程式真的聰明到能夠判斷哪種javascript有害無害. 哪些html語法有問題會破壞版面,不然在自由與安全性上的兩難本來就無解, 端看管理者取決,而非真的是啥技術上多難處理的問題. 好比說我就對一些blog的管制很感冒.. 另外這種行為打個比方,好比說看到人家騎機車沒戴安全帽, 過去勸導,以為對方會很感謝你的指導,然後乖乖戴上安全帽, 結果對方不理會你,讓自以為正義的你大失所望,也得不到成就感, 於是隔天開車去輕撞,把對方撞下車,跟對方說... 你看看我不是說騎機車不戴安全帽很危險嗎?我這次輕撞不是要傷害你, 雖然你有點皮肉傷,用意在勸你騎機車要戴安全帽,結果被對方告上法院.. 之後上網說,你看看騎機車不戴安全帽多危險啊,難道要我眼睜睜放著不管, 我是熱心助人的正義阿.... 不知道這個比方貼不貼切. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: erspicu 來自: 60.248.56.181 (02/20 13:35) ※ Deleted by: erspicu (61.70.79.227) 02/24/2013 13:22:31