发黑客等技术帖，怎么能保障用户发帖良好体验？

myboss

商业项目，尤其那些技术型IT行业的网站，发什么eva1、ur1decode等高危词汇，都能发。
DZ一发帖，就被拦截了，提示发贴失败！这样对用户发帖的积极度很不好。
甚至某个知名的服务器面板，有专业的安全团队，官方论坛都是这样，只能发图片。
怎么才能达到那些商业项目，不惧怕任何等不安全的词汇，想发什么就发什么？


@monkeye @LooTan @湖中沉

湖中沉

1. eval
   
2. urldecode

复制代码

放到代码标签里就可以了啊，作为正常文本直接发，是有注入风险的

myboss

湖中沉 发表于 2024-7-19 19:21
放到代码标签里就可以了啊，作为正常文本直接发，是有注入风险的

我这两个高危词汇，肯定是没举例正确😁有的词放到代码标签里，也是不行的！
怎么在安全性方面进一步加强，值得思考！
我反正是像bt论坛一样，插件、waf等各种防御了，就是害怕被入侵了，宁肯降低发帖体验。
我就纳闷，商业项目，他们怎么不怕？
他们怎么做到又安全，有能有良好发帖体验的？

湖中沉

myboss 发表于 2024-7-20 22:17
我这两个高危词汇，肯定是没举例正确😁有的词放到代码标签里，也是不行的！
怎么在安全性方面进一步加强 ...

你说的“有的词”是什么呢？明显是恶意代码的肯定不行。宝塔论坛用的也是DX，所以他能做到的，说明DX就是支持的

myboss

湖中沉 发表于 2024-7-21 10:17
你说的“有的词”是什么呢？明显是恶意代码的肯定不行。宝塔论坛用的也是DX，所以他能做到的，说明DX就是 ...

有的词，我一时举例不上，因为发帖的时候，都不会告诉哪个英语单词高危，不允许用，只能凭猜测。
但是我在宝塔论坛发帖的时候，宝塔论坛应该是后台设置了关键词（危险词），就算在标签里，也是发布不成功的！宝塔都那么小心，我就也没敢太开放！
在标签里是恶意代码，不就被转义了嘛？应该行呀！
在标签里是恶意代码，难道点击发送的过程中，会执行命令嘛？我记得是不会的呀？

官方应该研究一下，让DZ无惧贴内包含恶意代码，让黑客也能互相用文字交流。

湖中沉

myboss 发表于 2024-7-21 12:29
有的词，我一时举例不上，因为发帖的时候，都不会告诉哪个英语单词高危，不允许用，只能凭猜测。
但是我 ...

任何程序都无法做到对任何恶意代码都随意允许提交的……程序只是程序，不是神……