0
我有一個表單,用戶可以輸入文本,稍後將顯示在網站的某個位置。我想允許這種類型的格式,而不僅僅是純文本。我是否認爲如果我過濾出<script>,<link>,<style>和<object>標籤我很難從用戶更改佈局或注入XSS和其他恐怖?篩選顯示的HTML用戶輸入
A
回答
0
發送問題後,我發現這顯然是不夠的,因爲任何標籤都可能具有onClick屬性和JS代碼。
糟糕。
相關問題
- 1. 在用戶輸入中顯示HTML?
- 2. 嵌入HTML篩選
- 3. 顯示用戶輸入onChange
- 4. Javascript顯示用戶輸入
- 5. 篩選顯示的記錄通過表單輸入
- 6. JQuery篩選器窗體只顯示相應的輸入
- 7. JavaScript/HTML:如何將用戶輸入顯示到html正文中?
- 8. 隱藏/顯示基於用戶選擇輸入的複選框
- 9. Javascript html不顯示輸入
- 10. 突出顯示由用戶輸入的文本 - HTML,CSS
- 11. HTML DropDown根據用戶輸入顯示數據的列表
- 12. 隱藏/顯示HTML網頁的部分基於用戶輸入
- 13. 顯示用戶輸入的名稱與HTML和PHP
- 14. 使用getElementById更新html輸入並使用AngularJs進行篩選
- 15. 如何從HTML顯示的複選框上輸入所選值
- 16. 輸入到find的篩選任務列表不顯示控制檯輸出?
- 17. 輸入號碼篩選器
- 18. 篩選IQueryable的<dynamic>給用戶輸入
- 19. '包含'以TextBox作爲用戶輸入的篩選器
- 20. 顯示使用用戶輸入
- 21. 選擇特定的跨度來顯示用戶輸入
- 22. Web表單/ CGI腳本:用戶輸入「word」,IFrame顯示「word」.html
- 23. 如何在HTML安全顯示用戶輸入?
- 24. 如何在HTML頁面上將輸入顯示回用戶?
- 25. PHP逸出用戶輸入在HTML顯示
- 26. 篩選選擇基於html輸入與jquery和javascript
- 27. 使用組合框輸入篩選QSqlTableModel
- 28. backbone.js - 使用輸入值篩選集合
- 29. 顯示用戶輸入歷史
- 30. 顯示輸入回到用戶 - javascript
不,你是不對的......考慮使用白名單而不是黑名單 – AMember