發黑客等技術帖，怎么能保障用戶發帖良好體驗？

myboss

商業項目，尤其那些技術型IT行業的網站，發什么eva1、ur1decode等高危詞匯，都能發。
DZ一發帖，就被攔截了，提示發貼失敗！這樣對用戶發帖的積極度很不好。
甚至某個知名的服務器面板，有專業的安全團隊，官方論壇都是這樣，只能發圖片。
怎么才能達到那些商業項目，不懼怕任何等不安全的詞匯，想發什么就發什么？


@monkeye @LooTan @湖中沉

湖中沉

1. eval
   
2. urldecode

復制代碼

放到代碼標簽里就可以了啊，作為正常文本直接發，是有注入風險的

myboss

湖中沉 發表于 2024-7-19 19:21
放到代碼標簽里就可以了啊，作為正常文本直接發，是有注入風險的

我這兩個高危詞匯，肯定是沒舉例正確??有的詞放到代碼標簽里，也是不行的！
怎么在安全性方面進一步加強，值得思考！
我反正是像bt論壇一樣，插件、waf等各種防御了，就是害怕被入侵了，寧肯降低發帖體驗。
我就納悶，商業項目，他們怎么不怕？
他們怎么做到又安全，有能有良好發帖體驗的？

湖中沉

myboss 發表于 2024-7-20 22:17
我這兩個高危詞匯，肯定是沒舉例正確??有的詞放到代碼標簽里，也是不行的！
怎么在安全性方面進一步加強 ...

你說的“有的詞”是什么呢？明顯是惡意代碼的肯定不行。寶塔論壇用的也是DX，所以他能做到的，說明DX就是支持的

myboss

湖中沉 發表于 2024-7-21 10:17
你說的“有的詞”是什么呢？明顯是惡意代碼的肯定不行。寶塔論壇用的也是DX，所以他能做到的，說明DX就是 ...

有的詞，我一時舉例不上，因為發帖的時候，都不會告訴哪個英語單詞高危，不允許用，只能憑猜測。
但是我在寶塔論壇發帖的時候，寶塔論壇應該是后臺設置了關鍵詞（危險詞），就算在標簽里，也是發布不成功的！寶塔都那么小心，我就也沒敢太開放！
在標簽里是惡意代碼，不就被轉義了嘛？應該行呀！
在標簽里是惡意代碼，難道點擊發送的過程中，會執行命令嘛？我記得是不會的呀？

官方應該研究一下，讓DZ無懼貼內包含惡意代碼，讓黑客也能互相用文字交流。

湖中沉

myboss 發表于 2024-7-21 12:29
有的詞，我一時舉例不上，因為發帖的時候，都不會告訴哪個英語單詞高危，不允許用，只能憑猜測。
但是我 ...

任何程序都無法做到對任何惡意代碼都隨意允許提交的……程序只是程序，不是神……