浏览器提交的有格式的html怎么防止xss?
比如用各种前端的html编辑器(例如ckeditor)写的东西,怎么防止XSS
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
比如用各种前端的html编辑器(例如ckeditor)写的东西,怎么防止XSS
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受
或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(2)
Java 有 #jsoup#,而 PHP 则不清楚有什么开源的工具库。
JSOUP 的主要工作原理是清理不在白名单之内的HTML节点(如div,h1,script)、attribute(如onclick,style,height,src)、protocol(如https:,http:,ftp:,mail)。
针对提交html内容到服务端,防XSS,重点在于后端,前端的限制其实都是可以绕过的。后端一般从过滤危险标签、转义、base64编码等等方面防止。
另外,前端需要防止开发出基于DOM的XSS攻击(页面存在基于DOM的XSS,数据是不流经后端的)。
另外需要注意的是,提交的内容如果会拼接到sql语句中,也要注意可能存在sql注入隐患。