首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

python文本XSS过滤

前言:那天我正在开发网站最关键的部分——XSS过滤器,女神突然来电话说:“那东西好难呀,别开发了,来我家玩吧!”。...我“啪”地一下把电话挂了,想让我的网站出XSS漏洞,没门~ python做web开发当今已经逐渐成为主流之一,但相关的一些第三方模块和库还没有php和node.js多。...比如XSS过滤组件,PHP下有著名的“HTML Purifier”(http://htmlpurifier.org/ ),还有非著名过滤组件“XssHtml”(http://phith0n.github.io...这个库负责将html中,白名单以外的标签和属性过滤掉。 注意,他并不是过滤XSS的,只是过滤不在白名单内的标签和属性。...三、embed特殊处理 embed是嵌入swf等媒体文件的标签,理论上有时候我们的文本编辑器是允许插入flash的。

1.6K40
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    初探文本文本概述

    初探文本文本概述 文本编辑器通常指的是可以对文字、图片等进行编辑的产品,具有所见即所得的能力。...对于Input、Textarea之类标签,他们是支持内容编辑的,但并不支持带格式的文本或者是图片的插入等功能,所以对于这类的需求就需要文本编辑器来实现。...虽然仅仅是在浏览器中实现文本编辑的能力,但是这也并不是一件容易的事情。...当然在这里没有好不好,只有适合不适合,通常来说L1的编辑器已经满足于绝大部分文本编辑场景了,另外还有很多开箱即用的文本编辑器可选择,具体的选型还是因需求而异。...L1阶段的文本编辑器,通过抽离数据模型,解决了文本中脏数据、复杂功能难以实现的问题。通过数据驱动,可以更好的满足定制功能、跨端解析、在线协作等需求。

    1.8K10

    XssHtml – 基于白名单的文本XSS过滤

    关于文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法...之前我也总结了一些fliter的缺点,利用白名单机制完成了一个XSS Fliter类,希望能更大程度地避免文本XSS的产生。...:alert(1)>,有时候只是简单过滤script这种关键词,但总能用 字符编码绕过 4.过滤关键词时过于单纯,比如直接将script过滤为空,导致使用scrscriptipt就能绕过...而一般提供给一般用户使用的文本编辑器,都是一些很常见功能,比如图片(表情)、超链接、加粗、加斜、字号、字体、颜色、分隔符等,所以我们完全可以用白名单的思想去写一个文本过滤器,将编辑器中最常用到的一些功能做相应的过滤...最后再将过滤完的DOM导出成HTML返回。 这样做有几个好处: 1.整个类设计简单,只要创建好对象,调用一个方法即可得到过滤结果。

    2.7K80

    XssHtml – 基于白名单的文本XSS过滤

    关于文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Filter以及绕过方法...之前我也总结了一些filter的缺点,利用白名单机制完成了一个XSS Filter类,希望能更大程度地避免文本XSS的产生。...而一般提供给一般用户使用的文本编辑器,都是一些很常见功能,比如图片(表情)、超链接、加粗、加斜、字号、字体、颜色、分隔符等,所以我们完全可以用白名单的思想去写一个文本过滤器,将编辑器中最常用到的一些功能做相应的过滤...php /** * PHP 文本XSS过滤类 * * @package XssHtml * @version 1.0.0 * @link http://phith0n.github.io/...', 'ol', 'tr', 'th', 'td', 'hr', 'li', 'u'); /** * 构造函数 * * @param string $html 待过滤文本

    1.6K32

    学习js在线html(文本)编辑器

    textarea不行,它只能用来输入纯文本,不能显示颜色、斜体之类的文字样式,就像记事本。 你可以使用iframe来实现,修改iframe的designMode属性使其可以被编辑。...所以你需要一个选中要处理文本的方法。JS的selection.createRange()可以选中文本,返回一个对象,你可以通过访问该对象的text属性得到被选中的文本。...selection.createRange()选中文本,返回一个对象,该对象有一个方法execCommand(),可以用来改变被选中文本的样式。...ForeColor 设置或获取当前选中区的前景(文本)颜色。 FormatBlock 设置当前块格式化标签。 Indent 增加选中文本的缩进。 InlineDirLTR 目前尚未支持。...InsertTextArea 用多行文本输入控件覆盖当前选中区。 InsertUnorderedList 切换当前选中区是项目符号列表还是常规格式化块。

    19.9K70

    Android文本开发

    使用WebView+js+css方式,文本格式用html方式展现,比较复杂,对标签要非常熟悉才可以尝试使用 使用原生控件多焦点问题分析 界面是由多个输入区域拼接而成,暂且把输入区域称为EditText...利用html标签对文本处理,这种方式就需要专门处理标签的样式。 注意这种方法的实现,需要深入研究js,css等,必须非常熟悉才可以用到实际开发中,可以当作学习一下。...同时加载图片的逻辑也是暴露给外部开发者,充分解耦 关于文本字数统计,由于文本中包括文字和图片,因此图片和文字数量统计分开。...最后想说的是 对于文本写帖子,文章,如果写完文本提交,则可以使用转化成html数据提交给服务器; 对于文本写完帖子,文章,还有下一步,设置标签,类型,封面图,作者,时间,还有其他属性,则可以使用转化成...如果不用WebView,使用自定义文本RichText,则需要解析html显示,如果对html标签,js不熟悉,也不太好处理。

    8.5K20

    vue文本编辑器的使用_elementui文本

    一、安装 npm install quill --save 二、注册 1.在.main.js中注册文本编辑器 Vue.use(VueEditor) 三、使用 1.以下是写好的文本编辑器,附带功能齐全...官方中文文档) 2.新建一个Editor文件夹,文件夹下创建一个index.vue文件,将此复制到vue文件里 3.将Editor文件夹放入Vue项目的components组件包里方便其他页面直接引用文本编辑器...[{ color: [] }, { background: [] }], // 字体颜色、字体背景颜色 [{ align: [] }], // 对齐方式 ['clean'], // 清除文本格式...--文本编辑器 此处必须设置文本编辑器高度--> 5.页面引入刚刚写好的文本编辑器组件 import Editor from '@/public/components/Editor'; //加载私有组件 components:

    2.2K10

    文本】268- 文本原理了解一下?

    缘起 最近产品想让我在文本里加个旋转图片的功能,我一想?,就觉得事情并不简单,因为印象中好像没见过这种操作。果然,经过一番百度之后,确实没怎么看到相关信息,这也就意味着要自己动手丰衣足食了?。...但我自己对文本又没什么了解,所以顺带稍微看了下文本的实现方式,特此来沉淀一下,还是那句话不喜勿喷哈?。 ok,这里先简要说下为什么会有文本这种东西吧?!...于是文本就这样诞生了,开发者们也纷纷开始了踩坑之旅???。 前置知识 好了,交代完了背景,让我们先补充一些基础知识吧,不懂的请务必不要跳过?!...至此,一个简易版的文本就完成了(当然了 bug 也是有的?,不过并不妨碍我们理解),具体代码可以参考 npm 上的 pell 包,它已经是个极简版的了。...进阶 其实文本文本的操作大多都可以用原生命令来实现,但是对图片的操作也许就不那么容易了,来个拉伸、旋转啥的就够我们折腾了?,所以这里以图片拉伸为例子着重讲解一下。

    2K40

    基于 Editor.js 开发文本编辑器库

    开始 Editor.js 提供了简单而直观的用户界面,根据需求可以灵活添加自定义的编辑工具,通过插件扩展功能 Editorjs 使用 js 开发,脱离框架依赖,因此可以基于它封装文本编辑器,用于 Vue...和 React 项目 editor-js-component 是基于 Editorjs 封装的库,通过 monorepo 管理项目,不局限框架 Demo 示例 editor-js-component...editorjs-js-component 是基于 Editor.js 封装的库,不局限框架,可以用于 Vue 和 React 项目 安装 # NPM npm install --save editor-js-component...# or Yarn yarn add editor-js-component # or Pnpm pnpm add editor-js-component 查看文档,使用 import { useEditorjs...changeData="editorChange" /> 插件 Editorjs 以模块化的方式开发,通过插件方式扩展功能,如标题、段落、列表、表格等 根据 Editorjs 提供的 API 开发文本插件功能

    76100

    游戏中的文本

    游戏中的文本 游戏中使用文本并不少见,网上资料也有不少,就Unity而言,其也内建了一些对于文本的支持,NGUI也对文本有不少功能支持,如果游戏对文本的需求有限,这些内建的功能应该可以满足,但是如果有更复杂的文本功能要求...例如通过使用两个UILabel来实现图文混排 一个看上去挺有意思的TypeText项目 Unity资源商店上的HyperText 使用UGUI和NGUI实现了基本的HTML标签绘制,感觉是最正规的一种文本实现方式...,不过支持的标签有限,而且项目也目测好久没有更新了(这里) 自己因为兴趣,也尝试简单扩展了下Unity的文本功能,放上了Github,简单的贴下示例代码(伪代码),更详细的内容就请参考项目中Example

    1.2K31

    iOS 之-文本 (NSAttributedString)

    关于文本能做什么我就不多说了,我们一般遇到的图文混排等,这个还是很好做到的。...,取值为 NSNumber (float),正值横向拉伸文本,负值横向压缩文本 NSWritingDirectionAttributeName 设置文字书写方向,从左向右书写或者从右向左书写...ofhis和覅瑟吉欧多久啊到时见殴打舒服哈师范生佛我ofhis和覅瑟吉欧多久啊到时见殴打舒服哈师范生佛我ofhis和覅瑟吉欧多久啊到时见殴打舒服哈师范生佛我ofhis和覅"; //1.创建文本...forControlEvents:UIControlEventTouchUpInside]; [self.view addSubview:Btn]; //6.给Label带上图片 (需要创建另一个文本...; /* 将这个图片直接添加到attStr后面 */ [attStr appendAttributedString:imageStr]; //7.创建Label来显示文本

    3K60
    领券