首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

python文本XSS过滤

我“啪”地一下把电话挂了,想让我的网站出XSS漏洞,没门~ python做web开发当今已经逐渐成为主流之一,但相关的一些第三方模块和库还没有php和node.js多。...比如XSS过滤组件,PHP下有著名的“HTML Purifier”(http://htmlpurifier.org/ ),还有非著名过滤组件“XssHtml”(http://phith0n.github.io...这个库负责将html中,白名单以外的标签和属性过滤掉。 注意,他并不是过滤XSS的,只是过滤不在白名单内的标签和属性。...三、embed特殊处理 embed是嵌入swf等媒体文件的标签,理论上有时候我们的文本编辑器是允许插入flash的。...四、拼接标签和属性的时候,防止双引号越出,成为新标签 我曾经在Roundcube Webmail中找到一个XSS漏洞(CVE-2015-1433),导致原因就是因为白名单检测完毕后再拼接html标签和属性的时候没有过滤双引号

1.6K40
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    XssHtml – 基于白名单的文本XSS过滤

    关于文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法...之前我也总结了一些fliter的缺点,利用白名单机制完成了一个XSS Fliter类,希望能更大程度地避免文本XSS的产生。...总结一下现存的一些XSS Fliter的缺点,可以归纳成以下几条: 1.黑名单过滤一些标签,但没有考虑全面。...而一般提供给一般用户使用的文本编辑器,都是一些很常见功能,比如图片(表情)、超链接、加粗、加斜、字号、字体、颜色、分隔符等,所以我们完全可以用白名单的思想去写一个文本过滤器,将编辑器中最常用到的一些功能做相应的过滤...,其他标签、属性统统丢弃,来达到过滤XSS的效果。

    2.7K80

    XssHtml – 基于白名单的文本XSS过滤

    之前我也总结了一些filter的缺点,利用白名单机制完成了一个XSS Filter类,希望能更大程度地避免文本XSS的产生。...总结一下现存的一些XSS Filter的缺点,可以归纳成以下几条: 黑名单过滤一些标签,但没有考虑全面。...而一般提供给一般用户使用的文本编辑器,都是一些很常见功能,比如图片(表情)、超链接、加粗、加斜、字号、字体、颜色、分隔符等,所以我们完全可以用白名单的思想去写一个文本过滤器,将编辑器中最常用到的一些功能做相应的过滤...,其他标签、属性统统丢弃,来达到过滤XSS的效果。...php /** * PHP 文本XSS过滤类 * * @package XssHtml * @version 1.0.0 * @link http://phith0n.github.io/

    1.6K32

    学习js在线html(文本)编辑器

    textarea不行,它只能用来输入纯文本,不能显示颜色、斜体之类的文字样式,就像记事本。 你可以使用iframe来实现,修改iframe的designMode属性使其可以被编辑。...所以你需要一个选中要处理文本的方法。JS的selection.createRange()可以选中文本,返回一个对象,你可以通过访问该对象的text属性得到被选中的文本。...selection.createRange()选中文本,返回一个对象,该对象有一个方法execCommand(),可以用来改变被选中文本的样式。...ForeColor 设置或获取当前选中区的前景(文本)颜色。 FormatBlock 设置当前块格式化标签。 Indent 增加选中文本的缩进。 InlineDirLTR 目前尚未支持。...RemoveFormat 从当前选中区中删除格式化标签。 RemoveParaFormat 目前尚未支持。 SaveAs 将当前 Web 页面保存为文件。 SelectAll 选中整个文档。

    19.9K70

    iOS创建带有图片的文本(案例:展示信用卡标签

    1.1 初始化NSTextAttachment对象 1.2 创建带有图片的文本 1.3 例子:展示信用卡标签 布局小技巧 iOS 自定义视图:《用户协议及隐私政策》弹框(包含超链接属性)【本文包含完整...demo源码,demo支持中英文切换】 iOS加载本地HTML、pdf、doc、excel文件 & HTML字符串与文本互转 HTML字符串与文本互转 iOS文本使用指南: 1、封装文本API...,采用block实现链式编程 2、 超链接属性 3、HTML字符串与文本互转 引言 需求:特性标签存在多个 ?...特性标签字段labelTitle "labelTitle" : "核卡105\r\n首刷后再补贴65", 应用场景:存在图片和文字并排展示,例如特性标签 ?...I、文本如何添加图片?

    1.3K20

    Vue开发技巧:清除v-html指令中的文本标签

    目录前言背景介绍具体实现正则表达式的其他用法过滤特定标签替换特定标签移除特定属性处理嵌套标签总结前言你好,我是喵喵侠。今天要分享一个实用的Vue技巧,那就是如何使用v-html移除文本中的样式。...我在某次实际开发中,遇到了后端返回数据包含文本的情况。在列表页中,我们可能只需要展示文本的摘要,不带任何样式标签;而在详情页中,则需要保留原本的文本格式。...然而,文本中可能包含各种HTML标签和样式,而我们有时只需要纯文本。通过使用正则表达式,我们可以轻松地移除这些标签,只保留文字内容。具体实现我们先来看一下最基本的实现方式。...假设后端返回的文本数据存储在item.content中,我们希望在列表页中只显示纯文本,而在详情页中显示完整的文本内容。标签,而保留其他标签。我们可以使用以下正则表达式:<!

    17610

    基于 Editor.js 开发文本编辑器库

    开始 Editor.js 提供了简单而直观的用户界面,根据需求可以灵活添加自定义的编辑工具,通过插件扩展功能 Editorjs 使用 js 开发,脱离框架依赖,因此可以基于它封装文本编辑器,用于 Vue...和 React 项目 editor-js-component 是基于 Editorjs 封装的库,通过 monorepo 管理项目,不局限框架 Demo 示例 editor-js-component...editorjs-js-component 是基于 Editor.js 封装的库,不局限框架,可以用于 Vue 和 React 项目 安装 # NPM npm install --save editor-js-component...# or Yarn yarn add editor-js-component # or Pnpm pnpm add editor-js-component 查看文档,使用 import { useEditorjs...changeData="editorChange" /> 插件 Editorjs 以模块化的方式开发,通过插件方式扩展功能,如标题、段落、列表、表格等 根据 Editorjs 提供的 API 开发文本插件功能

    76100

    Selenium2+python自动化24-js处理文本

    前言 上一篇Selenium2+python自动化23-文本(自动发帖)解决了文本上iframe问题,其实没什么特别之处,主要是iframe的切换,本篇讲解通过js的方法处理文本上iframe...三、定位iframe 1.打开编辑界面后先不要急着输入内容,先sleep几秒钟 2.输入标题,这里直接通过id就可以定位到,没什么难点 3.接下来就是重点要讲的文本的编辑,这里编辑框有个...四、js输入中文 1.这里定位编辑正文是定位上图的红色框框位置body部分,也就是id=tinymce 2.定位到之后,用js的方法直接输入,无需切换iframe 3.直接点保存按钮...driver.find_element_by_id("blog_nav_newpost").click() time.sleep(5) edittile = u"Selenium2+python自动化23-文本...发的正文内容" # js处理iframe问题(js代码太长了,我分成两行了) js = 'document.getElementById("Editor_Edit_EditorBody_ifr")'

    1.1K50

    PHP 正则表达式 获取文本中的 img标签的src属性

    前言 鄙人发现对于微信看看中的文章,一般都会有三张摘要图片; 所以想着可以直接提取文本中的 标签的 src 属性信息; 这样就可以在前台的 文章列表中展示三张图片(建议不要多了),吸引阅读... 标签是忽略大小写的,并且 标签结尾 使用 > 或者 /> - 2. src 属性信息一般是以".jpg|.png|.jpeg|.gif"结尾的; 但是也有的不需要扩展没那个结尾(只是个图片链接...注意匹配的结尾形式 ([^\'\"]*) 匹配不上单引号和双引号的字符 整理后的处理源码如下: /** * 对文本信息中的数据 * 匹配出所有的 标签的 src属性 * @param...string $contentStr 文本字符串 * @return array * */ function getPatternMatchImages($contentStr = ""){...$imgSrcArr = []; //首先将文本字符串中的 img 标签进行匹配 $pattern_imgTag = '/<img\b.*?

    6.7K10

    文本场景下的 XSS

    文本编辑器是一个常见的业务场景,一般来说,通过文本编辑器编辑的内容最终也会 html 的形式来进行渲染,比如 VUE,一般就会使用 v-html 来承载文本编辑的内容。...值得注意的一个问题是,默认情况下会去禁用 style 属性,这样会导致富文本的样式展示异常,需要禁用 css 过滤或者使用白名单的方式来进行过滤。...在 vue 中,选择在 created() 做过滤即可。不过在 JS 中有一种绕过过滤的方案,就是在过滤函数之前让 JS 报错,那么这样过滤函数就不会执行了,从而导致绕过。...p := bluemonday.NewPolicy()// 标签白名单p.AllowElements("b", "strong")// 正则表达式白名单p.AllowElementMatch(regex.MustCompile...("^my-element-")) 其实从原理上来说,bluemonday 与 js-xss 并没有本质的区别,主要就是基于标签和属性的过滤,可以基于自己的技术场景去选择。

    2.3K10

    使用ueditor文本编辑器导出文本内容时,自定义各个标签的属性,以img标签添加最大宽度为例(vue框架)….

    现在在做的项目是一个对功能要求比较高的项目,同时也有SDK端的开发.项目中有一个场景就是在pc端通过文本编辑的内容要在SDK端显示,测试的时候发现有一些图片超出了手机的最大宽度,会出现一个横向的滚动条...,这样很影响体验.做显示这块的是公司做android和ios的同事,他们拿到的值文本直接导出的json格式的html代码,因此他们很难再对代码进行二次处理,解决问题的源头又回到了我这里~~ 言归正传,...想要解决问题就要从标签的style属性着手;本人在追踪数据流的时候发现了在导出编辑器内容的时候会把编辑器内容全部遍历一次的地方,遍历的数组大概就长这样(这其实是遍历之后的,理解我的意思就行) 那么重点来了...,以img标签为例,进一步处理的数据长这个样 在遍历的时候会将attrs进行遍历,遍历时候大概就给拆成这样 这个时候就需要在style中插入就行了,这个地方在ueditor.all.js文件的8726...最后提醒一句,引入的时候要引入ueditor.all.js,别引ueditor.all.min.js了,这改的不是min.js~~~ 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn

    2.2K30

    UEditor编辑器存储型XSS漏洞挖掘

    前言 UEditor是由百度web前端研发部开发的所见即所得文本web编辑器,具有轻量,可定制,注重用户体验等特点。...漏洞成因分析 漏洞文件产生在前端配置文件ueditor.config.js: 以下为纯文本粘贴为true时的过滤规则,对一些危险的标签没有做过滤,怪不得好多二次开发的。...; HTML中的p标签为段落标签,目前所有主流浏览器都支持 标签。...首先我们打开编辑器输入正常的文本: ? ? 抓包并将 标签以及原本的文本删除 ?...防御措施 1、修改 xss过滤白名单 配置文件ueditor.config.js,增加白名单过滤,比如对一些非法的参数和标签,像 、,”,’,img标签的onerror属性,script标签等进行自动转义

    4.3K40

    精读《可视化搭建思考 - 文本搭建》

    如果 dsl 拓展得足够好,理论上可以达到 html 的水平,尤其在垂直业务场景是不需要那么多特殊 html 标签的。...但用组件代替 js 就有点奇怪了,首先并不是所有 js 逻辑都沉淀在组件里,一定有组件间的联动逻辑是无法通过一个组件 js 完成的,另一方面如果将 js 逻辑寄托在组件代码里,本质上是没有提效的,用源码开发项目与开发搭建平台的组件都是...所以文本只是搭建中一个组件,就像 contenteditable 也只能依附于一个标签,整个网页还是由标签组成的。...文本模式则类似下面的结构: header footer <...可以看到虽然操作方式不同,但本质上描述协议并没有本质区别,我们理论上可以将任何容器标签切换为文本模式。

    1.1K10

    XSS 攻击与防御

    src='x' onerror='alert(1)'>"; el.innerHTML = name; // 会弹出提示框,构成了 XSS 攻击 textContent 如果仅是展示纯文字内容,不展示文本...文本过滤 文本比前三个都容易触发 XSS 漏洞(尤其是存储型 XSS),这是因为文本中的文本内容实质上就是 HTML 代码片段。要想防御 XSS,就需要做过滤操作。...过滤可分为白名单过滤和黑名单过滤。 黑名单过滤 黑名单过滤就是不让某些标签或属性出现在文本中。我们可以利用正则匹配,将匹配到的内容替换掉。...return html; } 黑名单过滤法不一定能过滤“干净”,毕竟 XSS 攻击类型众多,有些攻击手段不一定被过滤到。 白名单过滤 白名单过滤就是保留部分标签和属性。...对象的键是标签名,值是一个数组,里面传入的是标签的属性,表示这些属性不会被过滤,不在数组中的属性会被过滤。当 whiteList 的值是一个空数组时,表示去除所有的 HTML 标签,只保留文本内容。

    3.9K20
    领券