0

我正在尝试解决我的新 Web 应用程序上的经典“用户输入清理”问题,我选择使用 Google Caja 的 HTML Sanitizer 服务器端来完成此任务。

虽然实施+测试进展顺利,但我仍有一些问题:

  • 1) 我只能找到 HTML4 定义,这是否意味着 HTML5 标签不安全?

我对 HTML 5 特定的标签/属性 XSS 进行了一些测试,尽管它们都不起作用,但我不能 100% 确定某些未经测试的 XSS 不起作用。

  • 2) Google Caja 似乎不再活跃,这会构成安全问题吗?

  • 3)我希望我的用户能够共享链接,我如何能够以通过 Google Caja 过滤器的安全方式做到这一点?(如 StackOverflow)

  • 4) Caja 如何处理 Unicode ?

先感谢您 !

4

1 回答 1

4

1) 我只能找到 HTML4 定义,这是否意味着 HTML5 标签不安全?

在过去的几个月里,我们增加了对 HTML5 的支持。如果有任何遗漏,请告诉我们。

2) Google Caja 似乎不再活跃,这会构成安全问题吗?

你可能找错地方了吗?我们很忙,你可以在这里看到。

3)我希望我的用户能够共享链接,我如何能够以通过 Google Caja 过滤器的安全方式做到这一点?(如 StackOverflow)

您可以提供允许或拒绝传出链接的 URI 策略。

4) Caja 如何处理 Unicode ?

没错,我应该希望。如果事情不工作,请提交一个错误

于 2013-06-25T16:52:58.070 回答