比如用各种前端的html编辑器(例如ckeditor)写的东西,怎么防止XSS
Java 有 #jsoup#,而 PHP 则不清楚有什么开源的工具库。
JSOUP 的主要工作原理是清理不在白名单之内的HTML节点(如div,h1,script)、attribute(如onclick,style,height,src)、protocol(如https:,http:,ftp:,mail)。
针对提交html内容到服务端,防XSS,重点在于后端,前端的限制其实都是可以绕过的。后端一般从过滤危险标签、转义、base64编码等等方面防止。
另外,前端需要防止开发出基于DOM的XSS攻击(页面存在基于DOM的XSS,数据是不流经后端的)。
另外需要注意的是,提交的内容如果会拼接到sql语句中,也要注意可能存在sql注入隐患。
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
暂无简介
文章 0 评论 0
接受
发布评论
评论(2)
Java 有 #jsoup#,而 PHP 则不清楚有什么开源的工具库。
JSOUP 的主要工作原理是清理不在白名单之内的HTML节点(如div,h1,script)、attribute(如onclick,style,height,src)、protocol(如https:,http:,ftp:,mail)。
针对提交html内容到服务端,防XSS,重点在于后端,前端的限制其实都是可以绕过的。后端一般从过滤危险标签、转义、base64编码等等方面防止。
另外,前端需要防止开发出基于DOM的XSS攻击(页面存在基于DOM的XSS,数据是不流经后端的)。
另外需要注意的是,提交的内容如果会拼接到sql语句中,也要注意可能存在sql注入隐患。