0
我正在建立一个网站,允许用户通过HTML模板建立自己的网站。我应该使用什么样的HTMLPurifier设置来阻止XSS攻击?允许HTML模板启用哪些HTMLPurifier设置?
在我的模板系统中,我只允许它们编辑模板的特定部分(即不是整个HTML文件,只是它的一部分)。这不允许他们编辑外部标签,这是好的,但我不希望他们在上述特定部分使用JavaScript。
任何已经拥有这种HTMLPurifier设置的人?
A
回答
1
听起来就像你想要一个白名单。这很好,因为这是HTML Purifier的工作原理。
你会想自己浏览标签和属性列表,并简单地决定要准许什么。
仅允许本质安全的元素,允许不能包含CSS或Javascript或者引用外部资源(如图像)的属性。老实说,你可以在形式/输入,iframes,脚本/无脚本,对象/嵌入,头脑中的任何东西以及xmp之外实际上允许所有的东西。其他的一切都是语义的或文体的,而且大多是无害的。
相关问题
- 1. 允许在htmlpurifier
- 2. Htmlpurifier - 允许textarea的
- 3. HTMLPurifier允许属性
- 4. HtmlPurifier - 允许名称属性
- 5. HTMLPurifier允许居中文本
- 6. 非类型模板 - 哪些类型是允许的?
- 7. 允许用户添加后与原始的HTML将使用HTMLPurifier
- 8. 允许使用HTMLPurifier嵌入/对象/参数HTML标签?
- 9. firebase只允许设置某些属性
- 10. 无法让htmlpurifier允许一些tinymce样式通过
- 11. 修改htmlpurifier允许标签此标记
- 12. 如何在htmlpurifier中允许代码
- 13. HTMLPurifier仍然剥去允许的属性
- 14. 允许在HTMLPurifier中嵌入标签?
- 15. htmlpurifier不允许css重要删除
- 16. 允许哪些线程调用SwingWorker#publish?
- 17. google.maps.Size允许使用哪些单位?
- 18. Rails允许用户设置css设置
- 19. 允许模板被推断
- 20. 允许儿童模板 - wordpress
- 21. Ruby:允许模块具有设置
- 22. Drupal模块(小册子)不允许从管理面板启用
- 23. Django模型HTML允许
- 24. PHPIDS配置,以允许HTML
- 25. HTML脚本标记允许哪些语言类型?
- 26. @ + id /允许哪些特殊字符?
- 27. bigquery.readonly范围允许哪些操作?
- 28. XML - xml:base属性允许哪些值?
- 29. 我允许传输哪些设备信息?
- 30. 允许并限制一些HTML字符