0
我有,我已經把驗證代碼,不要讓<script>標籤和Javascript代碼一個文本,但用戶可以像<strong onmouseover=alert(2)>輸入描述。過濾出JavaScript注入
因此,當有人懸停在此字符串標籤JS警告框出現。
我該如何阻止這種JavaScript注入?
A
回答
0
有很多稱爲html淨化器的工具。例如,您可以嘗試this。
0
最簡單的答案是replace(/</g,'<');,但當然防止任何 HTML被使用。這就是BBCode,Markdown和其他類似語言存在的原因:提供格式化功能而不授予用戶發佈任意代碼的權限。
或者,只是搜索模式/\bon[a-z]+=/i
0
的事情你需要正確過濾您允許HTML。正如你發現的那樣,這不是微不足道的。 (您可能需要禁止iframe和其他幾個元素。)
正確的消毒需要白名單中的元素,並且在這些白名單中包含每個元素允許的屬性。顯然,各種onXyz屬性不在白名單中。
消毒必須發生在服務器端,因爲任何客戶端都可以被繞過。所以不知道你使用的服務器技術,不能推薦一些東西。例如,JSoup對於Java來說是衆所周知的,但當然,如果您不使用Java,那對您沒有用處。 :-)對於.NET,還有的HTML Agility Pack或Microsoft Anti-XSS library,但是這是一個非常不全名單。
相關問題
- 1. Apigility輸入過濾注入
- 2. PDO不過濾SQL注入
- 3. 自動注入過濾
- 4. 將過濾器注入Zend_View
- 5. 過濾HTML爲JavaScript輸出
- 6. 通過javascript/jquery注入html?
- 7. @容器注入中的注入過濾器
- 8. 的WebAPI行爲過濾依賴注入
- 9. 行動過濾器 - 依賴注入
- 10. 命令注入旁路過濾
- 11. 在Servlet過濾器中注入彈簧
- 12. Zend Framework過濾器,防止sql注入
- 13. Masstransit過濾IoC注入/數據庫
- 14. C#註冊嵌入式Directshow過濾器
- 15. 注入dependecy自定義過濾器angularJS
- 16. 春季注入豆過濾器
- 17. 使用WordPress的the_content過濾器注入JavaScript產生JavaScript語法錯誤
- 18. 通過註釋過濾javadoc
- 19. 視頻構建過濾器的輸入和輸出過濾器?
- 20. 過濾出FileUtils.cp_r
- 21. 通過Javascript將HTML注入到div中
- 22. Android Webview通過Javascript注入CSS
- 23. 通過網址將JavaScript注入頁面
- 24. 注入圖像中的WebView通過JavaScript
- 25. 通過javascript的HTML腳本注入
- 26. 通過shell運行javascript注入
- 27. C4Image過濾器全部淡入淡出
- 28. 應用貨幣過濾器使用angularjs和注入$過濾功能
- 29. Django過濾條件註釋
- 30. FreeSWITCH過濾器註冊