我的博客回复区被注入脚本,导致评论下边的回复都是脚本和混乱字符,应该是别人注入脚本攻击的。
解决这个问题分三步走:
1 web层调用js判断页面是否为已登录状态
2 在回复请求发送给服务器的同时携带token或者cookie
3 服务器也要加上判断,判断请求是否合法
4 清楚被脚本注入的垃圾评论
目前先将第一个实现了,2,3留作以后不忙的时候补充即可。
那么下面要修正的问题是被污染的回复,我的回复和评论写在一张评论表里,评论和回复的不同之处在于评论的parent字段是文章id,而回复的parent字段则是其父节点评论id,评论和回复都有一个字段是artid,表示所属文章id。
所以根据这个思路只要在评论表里找出那些artid和parent不相等的条目即可。
mongodb比较两个字段是否相等可以通过如下代码
db.comments.find({$where:"this.parent !=this.artid"})所以批量删除就很简单了
db.comments.deleteMany({$where:"this.parent !=this.artid"})所以,以后我们为了防止脚本注入,一定要验证输入来源的合法性,并且过滤其中的脚本信息等。服务器也要增加验证。
走到现在我忽然明白一个道理,无论工作也好生活也罢,最重要的是开心,即使一份安稳的工作不能给我带来事业上的积累也要合理的舍弃,所以我还是想去做喜欢的方向。