当前位置：文江博客话题详情

存储 HTML 时避免 XSS 攻击

发布于 2024-11-15 12:32:05 字数 217 浏览 0 评论 0原文

我的网站存储用户生成的 HTML。当然，这些数据会呈现在网页上。渲染 HTML 和避免 XSS 攻击的最佳实践是什么？剥离

我想要一个一般性的答案，与任何语言或技术无关。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

清君侧 2024-11-22 12:32:05

您可以使用像 Jsoup 这样的库，尤其是它们的 whitelist-sanitizer 以防止 XSS。

总的来说，我认为使用白名单是一种更好/更安全的方法，而不是过滤黑名单标签。此外，首先应该避免使用 HTML。相反，应该使用一些简单的标记，例如 markdown。

回复收藏 0 原文

亢潮 2024-11-22 12:32:05

我可以向你保证，没有办法安全地完成你所要求的事情。狡猾的黑客总是能够利用允许用户发送任意 html 的系统，即使是通过剥离某些标签进行清理。这正是 markdown 和 BBcode 存在。为什么看，连 StackOverflow 都在使用类似的。

您正在考虑走的道路上散布着 10,000 个被利用的网站。

回复收藏 0 原文

木有鱼丸 2024-11-22 12:32:05

当允许您的用户在您的页面上设置 HTML 时，您会迷失方向，有多种可能性，例如 onmouseover"myEvilJS" 或

回复收藏 0 原文

颜 2024-11-22 12:32:05

至少您必须转换此符号。

& -> &

< -> <

> -> >

“-> ”

'-> '

/-> /

回复收藏 0 原文

~没有更多了~

关于作者

清风无影

暂无简介

0 文章

0 评论

23 人气

关注发私信

胡图图

文章 0 评论 0

关注

zt006

文章 0 评论 0

关注

z祗昰~

文章 0 评论 0

关注

冰葑

文章 0 评论 0

关注

野の

文章 0 评论 0

关注

天空

文章 0 评论 0

友情链接

文江博客

存储 HTML 时避免 XSS 攻击

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（4）

关于作者

相关话题

热门标签

推荐作者

胡图图

zt006

z祗昰~

冰葑

野の

天空

友情链接

存储 HTML 时避免 XSS 攻击

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（4）

关于作者

相关话题

热门标签

推荐作者

胡图图

zt006

z祗昰~

冰葑

野の

天空

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。