除了<script>标签之外,我应该删除哪些内容以确保用户输入的HTML是安全的?
为了确保用户输入的 HTML 是安全的,除了<script>` 标签之外,还需要删除以下内容:
1.<iframe>` 标签:可以用于在网页中嵌入其他网页,可能会导致跨站脚本攻击(XSS)。
2.<embed>` 标签:可以嵌入各种插件,例如 Flash 插件,可能会导致恶意代码的执行。
3.<object>` 标签:可以嵌入各种插件,例如 Flash 插件,可能会导致恶意代码的执行。
<link>标签:可以引入外部样式表,可能会导致跨站脚本攻击(XSS)。 5.<style>` 标签:可以包含 CSS 代码,可能会导致跨站脚本攻击(XSS)。<meta>标签:可以设置页面元数据,可能会导致跨站脚本攻击(XSS)。<base>标签:可以设置页面的基本 URL,可能会导致跨站脚本攻击(XSS)。<applet>标签:可以嵌入 Java 小程序,可能会导致恶意代码的执行。<form>标签:可以创建表单,可能会导致跨站请求伪造(CSRF)攻击。 10.<input>标签:可以创建输入框,可能会导致跨站请求伪造(CSRF)攻击。 11.<button>标签:可以创建按钮,可能会导致跨站请求伪造(CSRF)攻击。 12.<textarea>标签:可以创建文本框,可能会导致跨站请求伪造(CSRF)攻击。 13.<select>标签:可以创建下拉列表,可能会导致跨站请求伪造(CSRF)攻击。 14.<option>` 标签:可以创建下拉列表选项,可能会导致跨站请求伪造(CSRF)攻击。
为了确保用户输入的 HTML 是安全的,建议使用白名单策略,只允许用户输入安全的 HTML 标签和属性,而不是禁止用户输入不安全的标签和属性。可以使用开源的 HTML 过滤库,例如 HTML Purifier 或 DOMPurify,来实现这一目标。
相关·内容
我们有一个ASP.NET自定义控件,允许用户输入HTML (类似于富文本框)。我们注意到,用户可能会在HTML视图中的<script>标记中注入恶意客户端脚本。我可以在保存时验证HTML代码,以确保删除任何<script>元素。
这就是我要做的?除了<script
浏览 7提问于2009-12-31得票数 2
回答已采纳
我有一个应用程序,可以重新处理HTML,以便做漂亮的排版。现在,我想把它放到网上,让用户输入他们的文本。所以这里有一个问题:我非常确定我想要删除SCRIPT标签,加上结束标签,比如。但我还应该删除什么才能使它完全安全呢?
浏览 0提问于2009-01-23得票数 3
回答已采纳
2回答
我在我的应用程序中使用PHP和Zend Framework。用户可以输入一些HTML和管理员可以看到这个HTML。我想避免XSS注入。除了javascript之外,所有的HTML都应该按原样显示。我试图删除script标签,但它是不安全的。用户可以将java
浏览 0提问于2012-03-30得票数 3
回答已采纳
我正在构建一个网站,用户可以在其中添加嵌入(YouTube,Google,Airtable.)并向其他人展示这些埋藏物。嵌入是HTML的片段,可以包括<script>和<iframe>-tags。重要的是,嵌入的内容不能接管父页面或使用父站点的会话cookie发出请求。
一种最初看似富有成效的选择是在allow-same-origin<em
浏览 0提问于2021-08-23得票数 13
回答已采纳
2回答
我想在我的网站上嵌入一些HTML ..。我希望:
安全:对我们的用户来说仍然是安全的(javascript已禁用)Flexibility:HTML可以完全免费(不需要任何BBCode或MarkDown甚至TinyMCE,是
浏览 0提问于2010-11-18得票数 1
回答已采纳
5回答
我想使用PHP和mysql制作一个简单的用户登录/注册系统。除了用户登录和退出所需的信息之外,我不需要获得任何信息。我想确保系统安全。我目前理解它应该如何工作的方式是:用户输入他们的电子邮件地址、密码和确认密码。
PHP脚本确保密码匹配,并
浏览 8提问于2010-10-25得票数 9
回答已采纳
1)我得到带有html标签的响应,例如: This is <b>Test</b>3)如何删除所有XSS标签(<e
浏览 1提问于2011-09-03得票数 2
回答已采纳
4回答
我只是在创建一个表单,用户可以在其中使用html编写,我想知道出于安全考虑,应该删除哪些html标记。这个表单被发送到一个PHP文件中,所以我想使用strip_tags删除不想要的标记。到目前为止,我唯一的想法是删除脚本和div (以避免破坏布局)标记。
为了避免安全和布局问题,我还应
浏览 0提问于2013-06-23得票数 0
回答已采纳
只有一个简单的问题..有没有什么好的做法来验证HTML嵌入代码?仅供参考,我现在正在使用Zend Framework和prototype+scriptaculous ..如果有人能提供关于那个环境的线索,那就太好了。
谢谢!^^
浏览 1提问于2009-10-06得票数 2
回答已采纳
假设攻击者能够访问某个云服务上的用户帐户(比如我的Google、Microsoft或其他什么),用户就会发现这一点,并更改他们的密码。
然后用户应该注意哪些场景,以确保它们对攻击者是完全安全的?如果问题在上述表格中过于笼统或含糊不清,请允许我问一个适用于我的具体案例:我最近更改了Microsoft OneDri
浏览 0提问于2018-02-18得票数 2
回答已采纳
基本上我可以在我的页面上输入文本,所有的HTML标记都被剥离了,除了我允许的几个。
我想要的是能够输入我想要的所有标签,以纯文本的形式显示,但前提是它们必须在“code”标签内。并且是我遇到问题的所有输出
浏览 1提问于2012-03-11得票数 0
1回答
innercontent=document.getElementById(header.id.replace("-title",(page_request,header){ var page_request“”)//引用内容容器http”)=-1){ innercontent.innerHTML=page_request.responseText header.ajaxstatus="loaded“}}
为了避免XSS,需要进行哪些更改来修复此代码任何帮助都是非常感谢的。谢谢。
浏览 4提问于2014-03-27得票数 0
1回答
我有一个MVC 3 web应用程序项目,在一个页面中,我使用允许用户输入格式化文本。
当控制器接收到数据时,数据采用html格式.太完美了。NicEdit本身不允许在元素中直接输入脚本标记,也不允许直接输入onFoo事件,但是有不良意图的用户可以强制使用中的脚本,这是不安全的。我能做些什么来确保输入数据的<em
浏览 2提问于2011-08-31得票数 0
回答已采纳
2回答
我有几个关于编码/转义字符以防止跨站点脚本( XSS )的问题。
用于HTML编码的字符编码是否可以用于JavaScript?例如,..in HTML编码,<被编码为<,我能用同样的方式用于JavaScript吗?在JavaScript编码apis中有内置的吗?除了字符<、>、'、"、&之外,输出编码还需要考虑哪些其他字符?
浏览 4提问于2015-08-05得票数 2
5回答
是否有库或可接受的方法来清理html页面的输入?代码必须为C#。例如:
"<script src='bobs.js'>John Doe</script>"应该成为"John Doe"
浏览 0提问于2008-10-09得票数 45
回答已采纳
1回答
我有一个入口表单,用户可以在其中输入任意的HTML。除了脚本标签之外,我还需要过滤出什么?下面是我要做的:但是 (这里用在SO上)管理一个标签的白名单,并过滤掉(空白)所有其他标
浏览 0提问于2011-09-02得票数 1
回答已采纳
4回答
在接下来的几天里,我将不得不保护一个网站(我做到了),我想我会写到config.php文件(在所有的php页面中调用)。{ next($_POST);在config.php中,你认为我会是来自各种xxs和sql注入的siscuro我知道每个字段都必须以不同的方式进行验证,数据库最好不要包含html实体。
1)除了
浏览 1提问于2013-01-23得票数 0
我假设,确保用户输入是mysql安全的唯一方法是使用白名单,在其中只允许mysql安全输入,或者将输入编码为将始终返回mysql安全的内容。Base64连接到我身上,就像这样一种编码的候选人,还有mysql_escape_string.除了用户的可读性之外,
浏览 7提问于2014-06-12得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
