解决博客回复区被脚本注入的问题

我的博客回复区被注入脚本,导致评论下边的回复都是脚本和混乱字符,应该是别人注入脚本攻击的。

解决这个问题分三步走:

1  web层调用js判断页面是否为已登录状态

2  在回复请求发送给服务器的同时携带token或者cookie

3   服务器也要加上判断,判断请求是否合法

4   清楚被脚本注入的垃圾评论

目前先将第一个实现了,2,3留作以后不忙的时候补充即可。

那么下面要修正的问题是被污染的回复,我的回复和评论写在一张评论表里,评论和回复的不同之处在于评论的parent字段是文章id,而回复的parent字段则是其父节点评论id,评论和回复都有一个字段是artid,表示所属文章id。

所以根据这个思路只要在评论表里找出那些artid和parent不相等的条目即可。

mongodb比较两个字段是否相等可以通过如下代码

db.comments.find({$where:"this.parent !=this.artid"})

所以批量删除就很简单了

db.comments.deleteMany({$where:"this.parent !=this.artid"})

所以,以后我们为了防止脚本注入,一定要验证输入来源的合法性,并且过滤其中的脚本信息等。服务器也要增加验证。

热门评论
  • secondtonone1
    2022-06-01 12:39:56

    走到现在我忽然明白一个道理,无论工作也好生活也罢,最重要的是开心,即使一份安稳的工作不能给我带来事业上的积累也要合理的舍弃,所以我还是想去做喜欢的方向。

热门文章

  1. Linux环境搭建和编码

    喜欢(594) 浏览(2009)
  2. windows环境搭建和vscode配置

    喜欢(587) 浏览(1290)
  3. slice介绍和使用

    喜欢(521) 浏览(1297)
  4. 解密定时器的实现细节

    喜欢(566) 浏览(1143)
  5. C++ 类的继承封装和多态

    喜欢(588) 浏览(1271)

最新评论

  1. slice介绍和使用 恋恋风辰:切片作为引用类型极大的提高了数据传递的效率和性能,但也要注意切片的浅拷贝隐患,算是一把双刃剑,这世间的常态就是在两极之间寻求一种稳定。
  2. Linux环境搭建和编码 恋恋风辰:Linux环境下go的安装比较简单,可以不用设置GOPATH环境变量,后期我们学习go mod 之后就拜托了go文件目录的限制了。
  3. 构造函数 secondtonone1:构造函数是类的基础知识,要着重掌握
  4. interface应用 secondtonone1:interface是万能类型,但是使用时要转换为实际类型来使用。interface丰富了go的多态特性,也降低了传统面向对象语言的耦合性。
  5. 面试题汇总(一) secondtonone1:看到网络上经常提问的go的问题,做了一下汇总,结合自己的经验给出的答案,如有纰漏,望指正批评。

个人公众号

个人微博