-
1 votesanswersviews
JSF的服务器端HTML清理程序/清理
是否有任何JSF实用工具包或PrimeFaces / OmniFaces等库中可用的HTML清理程序或清理方法? 我需要通过p:编辑器清理用户的HTML输入,并使用 escape="true" 显示安全的HTML输出,遵循stackexchange样式 . 在显示HTML之前,我正在考虑将已清理的输入数据存储到数据库中,以便可以安全地使用 escape="true&q... -
24 votesanswersviews
Javascript中的简单HTML清理程序
我正在寻找一个用JavaScript编写的简单HTML清理程序 . 它不需要100%XSS安全 . 我正在我的网站上实现Markdown和WMD Markdown编辑器(来自github的SO主分支) . 问题是,实时预览中显示的HTML不会被过滤,就像在SO上一样 . 我正在寻找一个用JavaScript编写的简单/快速HTML清理程序,以便我可以过滤预览窗口的内容 . 无需具有完整XSS保护的... -
30 votesanswersviews
在保留基本格式的同时,我可以使用什么来清理收到的HTML?
这是一个常见的问题,我希望它已经彻底解决了我 . 在我正在为客户端做的系统中,我们希望从不受信任的来源(HTML格式的电子邮件和HTML文件)接受HTML,清理它以使其没有任何脚本,指向外部资源的链接以及其他安全性/等等问题;然后安全地显示它,同时不丢失基本格式 . 例如,就像电子邮件客户端使用HTML格式的电子邮件一样,但理想情况下不会重复在该领域中已经发生的347,821错误(到目前为止) .... -
4 votesanswersviews
如何过滤掉像SO那样的危险HTML? [重复]
这个问题在这里已有答案: How to prevent XSS with HTML/PHP? 9个答案 Sanitizing HTML input 4个答案 我想在我的网站上提供一个HTML编辑器,但是不想让自己打开xss或其他允许用户生成HTML的攻击 . 这与Stack Overflow的功能非常相似 . 如何在这里检查/清理HTML以便样式信息仍然存在,而其他更危险的东西(如ja... -
2 votesanswersviews
应该在输入时对html进行消毒吗?
这个问题已经在这里被问了很多次,并且大多数人都同意原始HTML输入应该存储在数据库中,并在输出时进行转义 . 但是,我认为我的情况可能略有不同 . 用户能够输入一些标签(em,strong,span等),但其他标签被删除(脚本,样式,元等) . 所以我正在做的是采用原始HTML,并通过bleach.clean发送它剥离(不逃避)所有不安全的标签 . 对我来说,这感觉更像是验证/消毒而不是用于显示的... -
0 votesanswersviews
MySQL HTML清理
我有一个网站将数据保存到MySQL数据库 我将它插入MySQL或在我的网站上显示时是否应该转义HTML? 理想情况下,我想将原始HTML输入到我的数据库中,每次从中取出时都要进行消毒 . 这样做有什么危险吗? 示例html: <h1>test</h1>