javascript - Google caja - 阻止恶意代码

Question

我的网站需要安全的 html。

我阅读了 caja 指南，但我不确定我是否理解 conecpt。

https://developers.google.com/caja/docs/gettingstarted/

我认为它是这样的：

用户向我的数据库提交恶意内容
我想渲染它。Caja 识别恶意代码并阻止它。

但是我如何通过 caja 渲染它？他们没有在他们的页面上解释这一点，他们只展示了如何替换代码。

<script type="text/javascript">
      document.getElementById('dynamicContent').innerHTML = 'Dynamic hello world';
</script>

假设我们的文档看起来像这样

<body>
    <div class="input">
        <h3>User Input </h3>
        <script> alert("I am really bad!"); </script>
    </div>

    <div class="input">
        <h3>User Input </h3>
        <p> I am safe HTML!</p>
    </div>
</body>

我将如何告诉 caja 阻止脚本标签？

score 12 · Accepted Answer

如果你只想清理 html（即根本不执行脚本），你不需要所有的 Caja，只需要 html-sanitizer。

要使用：

<script src="http://caja.appspot.com/html-css-sanitizer-minified.js"></script>
<script>
  var sanitized = html_sanitize(untrustedCode,
    /* optional */ function(url) { return url /* rewrite urls if needed */ },
    /* optional */ function(id) { return id; /* rewrite ids, names and classes if needed */ })
</script>

如果您不想允许经过净化的 css 样式，请改用http://caja.appspot.com/html-sanitizer-minified.js。

score 0 · Accepted Answer

在我看来，AntiSamy 是一种更好的方法。

https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project#What_is_it.3F

这真的很简单

javascript - Google caja - 阻止恶意代码

2 回答 2

Related

Reference