Q

如何轉義html？

2011-09-25 30 views 5 likes

5

即時通訊使用jQuery Markitup允許用戶輸入HTML ...所以他們可以輸入的東西，如：如何轉義html？

<h1>Foo</h1> 
<p>Foobar</p>

不過，我在看http://railscasts.com/episodes/204-xss-protection-in-rails-3，並決定將這段代碼試圖進入輸入：

<script>alert('test');</script>

令我驚訝的是，當我提交表單並刷新頁面時，警告框出來了。這是一個安全風險！

這是我在我的觀點：以上

<div><%= comment.description.html_safe %></div>

呈現任何HTML，但也容易產生XSS。所以我試過了：

<div><%= html_safe(comment.description).html_safe %></div>

但是上面沒有呈現任何html。它實際上顯示HTML爲文本，這不是所需的行爲。

我需要呈現html，同時保護自己免受xss攻擊。我如何去做這件事？

2011-09-25 Christian Fazzini

A

回答

0

嘗試

<%= sanitize(comment.description) %>

更新：

要刪除所有標籤使用用strip_tags

2011-09-25 12:19:53

+0

的sanitize啊呈現HTML，不執行從JS警報。有趣。但是這有什麼影響？我正在觀看http://railscasts.com/episodes/27-cross-site-scripting，Ryan B提到它「不夠徹底，因爲它不能逃避每個html標籤，這不太安全」。 .. –

相關問題

1. 如何轉義HTML實體？
2. CakePHP - html helper如何關閉轉義？
3. 如何在StringTemplate中默認轉義HTML？
4. SSRS如何呈現HTML轉義字符
5. 如何在Smarty中關閉html轉義
6. 如何轉義HTML的字符串？
7. 如何Html轉義模板字段
8. 如何防止Symfony2轉義html
9. 如何禁用HTML URL轉義
10. 如何避免System.Xml.Linq.XElement轉義HTML內容？

11. 如何在C中轉義html實體？
12. 如何在javascript中轉義html標記？
13. 如何以HAML格式轉義HTML？
14. Rails HTML轉義
15. IE HTML轉義
16. 在javascript中轉義/轉義html？
17. 轉義HTML在Django
18. 轉義HTML字符
19. 轉義HTML屬性
20. 轉義HTML文本
21. HTML轉義字符
22. 爲JLabel轉義HTML
23. 雙重轉義HTML
24. 轉義HTML標記
25. $ jqplot.CanvasAxisTickRenderer轉義html。標籤中的html如何正確呈現？
26. 如何將html保存到數據庫時轉義html？
27. 如何將C＃中的HTML轉換爲Javascript轉義＃
28. 如何轉換自定義XML轉換成HTML表格
29. 無論如何，以防止轉換轉義字符的innerHTML/$。html？
30. 如何轉義%%