我正在使用 HTMLPurifier 检查整个 HTML 文档中的 XSS。问题是它似乎去掉了任何不在<body>标签内的东西。但是,我想保留一切,只需要注意严重的 XSS 攻击。
任何想法如何允许<HTML>,<HEAD>等<META>?
问问题
1009 次
3 回答
4
大卫,我刚刚在 HTMLPurifier 支持论坛上进行了搜索,发现您一直很忙。
但也许您错过了几个月前解决您的确切问题的帖子,特别是回复:
完整的文档支持将(表面上)在 HTML Purifier 5.x 系列中出现;我们实际上没有实际处理完整 HTML 文档所需的解析代码。
在那之前,您需要捕获您的头部和 DTD 并将其重新添加到纯化的文档中。
于 2009-10-02T12:49:33.043 回答
0
请记住,您可以构建从“头”运行的 XSS 攻击。
于 2009-10-02T12:42:30.983 回答
0
您可以告诉 HTML Purifier 净化后的代码将包含在哪个标签中(默认为“div”)。将此设置为“跨度”将阻止所有块级标签。您可以尝试将其设置为“body”,甚至设置为“html”。
于 2009-12-02T15:20:40.480 回答