首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

python文本XSS过滤

前言:那天我正在开发网站最关键的部分——XSS过滤器,女神突然来电话说:“那东西好难呀,别开发了,来我家玩吧!”。...比如XSS过滤组件,PHP下有著名的“HTML Purifier”(http://htmlpurifier.org/ ),还有非著名过滤组件“XssHtml”(http://phith0n.github.io...这个库负责将html中,白名单以外的标签和属性过滤掉。 注意,他并不是过滤XSS的,只是过滤不在白名单内的标签和属性。...通过这个方式,对抗潜在的XSS注入。 三、embed特殊处理 embed是嵌入swf等媒体文件的标签,理论上有时候我们的文本编辑器是允许插入flash的。...四、拼接标签和属性的时候,防止双引号越出,成为新标签 我曾经在Roundcube Webmail中找到一个XSS漏洞(CVE-2015-1433),导致原因就是因为白名单检测完毕后再拼接html标签和属性的时候没有过滤双引号

1.6K40

XssHtml – 基于白名单的文本XSS过滤

关于文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法...之前我也总结了一些fliter的缺点,利用白名单机制完成了一个XSS Fliter类,希望能更大程度地避免文本XSS的产生。...而一般提供给一般用户使用的文本编辑器,都是一些很常见功能,比如图片(表情)、超链接、加粗、加斜、字号、字体、颜色、分隔符等,所以我们完全可以用白名单的思想去写一个文本过滤器,将编辑器中最常用到的一些功能做相应的过滤...,其他标签、属性统统丢弃,来达到过滤XSS的效果。...不过也有一些缺陷,就是过滤XSS不支持IE6及以下浏览器。因为IE6下奇葩特性太多了,会严重影响过滤器的效果与性能,所以我就没有考虑一些IE6的特性。

2.7K80
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    XssHtml – 基于白名单的文本XSS过滤

    关于文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Filter以及绕过方法...之前我也总结了一些filter的缺点,利用白名单机制完成了一个XSS Filter类,希望能更大程度地避免文本XSS的产生。...而一般提供给一般用户使用的文本编辑器,都是一些很常见功能,比如图片(表情)、超链接、加粗、加斜、字号、字体、颜色、分隔符等,所以我们完全可以用白名单的思想去写一个文本过滤器,将编辑器中最常用到的一些功能做相应的过滤...,其他标签、属性统统丢弃,来达到过滤XSS的效果。...php /** * PHP 文本XSS过滤类 * * @package XssHtml * @version 1.0.0 * @link http://phith0n.github.io/

    1.6K32

    KindEditor开源文本编辑框架XSS漏洞

    0×01 前言 KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的文本输入框...最终发现该框架还是存在一个XSS注入的问题,而且由于利用框架的时候都会将用户输入存入数据库,并对其他用户进行展示,进而引发了危害巨大的存储型XSS漏洞。...这也就意味着服务端中的过滤机制进行了正则匹配的过滤,只要包含特定内容,就直接替换成一个固定值。...通过分析源代码我们也可以看到,KindEditor确实也没有对我们输入的标签进行过滤,从而引发了XSS注入的问题。...只要使用就可能会存在这样的存储型的XSS漏洞,至于XSS漏洞的危害,就不需要多说了。

    2.5K80

    初探文本文本概述

    初探文本文本概述 文本编辑器通常指的是可以对文字、图片等进行编辑的产品,具有所见即所得的能力。...对于Input、Textarea之类标签,他们是支持内容编辑的,但并不支持带格式的文本或者是图片的插入等功能,所以对于这类的需求就需要文本编辑器来实现。...虽然仅仅是在浏览器中实现文本编辑的能力,但是这也并不是一件容易的事情。...当然在这里没有好不好,只有适合不适合,通常来说L1的编辑器已经满足于绝大部分文本编辑场景了,另外还有很多开箱即用的文本编辑器可选择,具体的选型还是因需求而异。...L1阶段的文本编辑器,通过抽离数据模型,解决了文本中脏数据、复杂功能难以实现的问题。通过数据驱动,可以更好的满足定制功能、跨端解析、在线协作等需求。

    1.8K10

    Android文本开发

    19.生成html片段上传服务器 20.生成json片段上传服务器 21.图片上传策略问题思考 00.该控件介绍 1.1 文本介绍 自定义文本控件,支持文本,包含两种状态:编辑状态和预览状态。...如果想在图片中间插入文字内容,则需要靠谱在图片之间预留编辑文本控件,方便操作; 支持对文字选中的内容进行设置加粗,添加下划线,改变颜色,设置对齐方式等等; 关于文本字数统计,由于文本中包括文字和图片...,支持文本内容转化为json内容输出,转化为html内容输出 支持设置文本的文字大小,行间距,图片和文本间距,以及插入图片的宽和高的属性 图片支持点击预览,支持点击叉号控件去除图片,暴露给外部开发者调用...同时加载图片的逻辑也是暴露给外部开发者,充分解耦 关于文本字数统计,由于文本中包括文字和图片,因此图片和文字数量统计分开。...最后想说的是 对于文本写帖子,文章,如果写完文本提交,则可以使用转化成html数据提交给服务器; 对于文本写完帖子,文章,还有下一步,设置标签,类型,封面图,作者,时间,还有其他属性,则可以使用转化成

    8.5K20

    vue文本编辑器的使用_elementui文本

    一、安装 npm install quill --save 二、注册 1.在.main.js中注册文本编辑器 Vue.use(VueEditor) 三、使用 1.以下是写好的文本编辑器,附带功能齐全...官方中文文档) 2.新建一个Editor文件夹,文件夹下创建一个index.vue文件,将此复制到vue文件里 3.将Editor文件夹放入Vue项目的components组件包里方便其他页面直接引用文本编辑器...[{ color: [] }, { background: [] }], // 字体颜色、字体背景颜色 [{ align: [] }], // 对齐方式 ['clean'], // 清除文本格式...--文本编辑器 此处必须设置文本编辑器高度--> 5.页面引入刚刚写好的文本编辑器组件 import Editor from '@/public/components/Editor'; //加载私有组件 components:

    2.2K10

    文本】268- 文本原理了解一下?

    缘起 最近产品想让我在文本里加个旋转图片的功能,我一想?,就觉得事情并不简单,因为印象中好像没见过这种操作。果然,经过一番百度之后,确实没怎么看到相关信息,这也就意味着要自己动手丰衣足食了?。...但我自己对文本又没什么了解,所以顺带稍微看了下文本的实现方式,特此来沉淀一下,还是那句话不喜勿喷哈?。 ok,这里先简要说下为什么会有文本这种东西吧?!...于是文本就这样诞生了,开发者们也纷纷开始了踩坑之旅???。 前置知识 好了,交代完了背景,让我们先补充一些基础知识吧,不懂的请务必不要跳过?!...至此,一个简易版的文本就完成了(当然了 bug 也是有的?,不过并不妨碍我们理解),具体代码可以参考 npm 上的 pell 包,它已经是个极简版的了。...进阶 其实文本文本的操作大多都可以用原生命令来实现,但是对图片的操作也许就不那么容易了,来个拉伸、旋转啥的就够我们折腾了?,所以这里以图片拉伸为例子着重讲解一下。

    2K40

    游戏中的文本

    游戏中的文本 游戏中使用文本并不少见,网上资料也有不少,就Unity而言,其也内建了一些对于文本的支持,NGUI也对文本有不少功能支持,如果游戏对文本的需求有限,这些内建的功能应该可以满足,但是如果有更复杂的文本功能要求...例如通过使用两个UILabel来实现图文混排 一个看上去挺有意思的TypeText项目 Unity资源商店上的HyperText 使用UGUI和NGUI实现了基本的HTML标签绘制,感觉是最正规的一种文本实现方式...,不过支持的标签有限,而且项目也目测好久没有更新了(这里) 自己因为兴趣,也尝试简单扩展了下Unity的文本功能,放上了Github,简单的贴下示例代码(伪代码),更详细的内容就请参考项目中Example

    1.2K31
    领券