是否以任何方式禁止瀏覽器在塊/節/元素內執行腳本?在特定塊/ div(包含可疑HTML)中禁用JavaScript?
我的情況是,我讓我的(未來)的用戶打造「豐富的內容」(使用CK-編輯器)。 內容是西港島線後顯示給其他用戶 - 所有暗示的危險:XSS,重定向,身份竊取,垃圾郵件,哪些不是......
我,或多或少,放棄了試圖「消毒」了進來的XHTML,看到有多少認識的‘攻擊向量’有:http://ha.ckers.org/xss.html
什麼我真正需要的是這樣的:
< DIV ID =‘userContent’> < scriptOFF>
嫌疑HTML
</scriptOFF> </DIV>
它是HTML淨化器 - 並且完美地工作(據我所見):) - 也是OWASP推薦的。 – T4NK3R 2010-06-22 20:36:36