0

我正在构建一个允许用户通过 HTML 模板构建自己的网站的站点。我应该使用什么样的 HTMLPurifier 设置来阻止 XSS 攻击?

在我的模板系统中,我只允许他们编辑模板的特定部分(即不是整个 HTML 文件,只是其中的一部分)。这不允许他们编辑标签外部,这没关系,但我不希望他们在所述特定部分中使用 javascript。

任何已经有这种 HTMLPurifier 设置的人?

4

1 回答 1

1

听起来你想要一个白名单。这很好,因为这就是 HTML Purifier 的工作方式。

您将需要自己检查标签和属性列表,并简单地决定允许什么。

只允许本质上安全的元素,允许不能包含 CSS 或 Javascript 或引用外部资源(如图像)的属性。

老实说,您实际上可以允许除表单/输入、iframe、脚本/noscript、对象/嵌入之外的所有内容,以及任何可以进入头脑的内容和 xmp。其他一切要么是语义的,要么是风格的,而且大多是无害的。

于 2011-03-19T04:55:33.517 回答