我有一些包含HTML类似<br> <b> <i>等的输入。我需要一种方法来只逃避HTML将我的网站暴露给 XSS 等的“坏”。
经过几个小时的谷歌搜索,我发现GWT看起来很有希望。
什么是逃避坏的推荐方法HTML?
编辑:
让我把事情弄清楚。
我正在使用输出 html 的 javascript 文本编辑器。如果我使用 bbcode 之类的东西会不会容易得多?
问问题
1308 次
4 回答
2
OWASP AntiSamy 正是为此而开发的一个项目。如果您需要用户能够提交结构化文本,请查看 markdown(恕我直言,比 BBCode 好很多)。
于 2012-08-30T19:53:40.563 回答
1
您可能只想转义所有 html。如果您想让用户能够使用基本的 html 标签,<b>或者<i>然后您可以将它们替换为 [b] 和 [i](如果您的论坛/您正在创建的任何内容都可以使用 bbcode),那么只需替换all"<"和和。">""<"">"
于 2012-08-30T01:49:20.293 回答
1
Google caja 是一种工具,可让第三方 HTML、CSS 和 JavaScript安全地嵌入您的网站。
于 2012-08-30T03:07:25.997 回答
1
Playframework 2 已经提供了一个解决方案。
该@Html()函数过滤坏的 html,这非常好。
我真的很喜欢play2
于 2012-08-30T13:02:32.740 回答