那些遇到过的问题

如何安全地显示用户提交的html内容?

Raj*_*pta 6 html javascript security web

我正在做堆栈溢出样式添加图像和格式到帖子[尽可能通过stackoverflow帖子编辑工具],所以我有生成的可用于在页面上显示的演示文稿的html。

但问题是如何显示该 html,当我尝试显示 html 时,它会像"<html>blah bhlah</html>". 如何在我的网页上安全地转义此 html 内容?

Vas*_*iev 3

在您的情况下发生的情况是 HTML 被转义,因此呈现为文本。

我不知道你用什么语言编写,但我怀疑你使用了内置的文本转义功能。这会将 HTML 呈现为文本,但是这不会使其安全

我怀疑您正在寻找的解决方案将:

  1. 解析 HTML 并对其进行清理,以删除任何潜在的恶意标签,例如 JavaScript、外部引用、iframe 等。
  2. 存储这个经过净化的 HTML。
  3. 将输入呈现为页面的一部分。

StackExchange 仅支持 HTML 的严格子集,您可能想要模拟所采用的方法。

这不是一个简单的问题要解决,您很可能希望找到一些可以为您完成此任务的框架,而不是自行构建。

例如,有人可能想尝试针对您的系统进行一些攻击:

  • </div>用于转义包装元素的附加标签。
  • 某些字符组合可能看起来不像有效的 HTML,但无论如何都会表现出来。
  • 利用页面上已有的一些 Javascript。
  • 添加 CSS 来打破页面布局。

归档时间:

查看次数:

3479 次

最近记录:

5 年,2 月 前
我可以在JavaScript中转义html特殊字符吗? 164
更多相关链接
相关归档
使用PHP进行最简单的双向加密 211
使用ng-repeat列表中的分页 130
将JSON从PHP返回到JavaScript? 129
将camelCaseText转换为句子案例文本 117
使用"X-UA-Compatible"为IE8模拟IE7但不为IE9模拟 42
获取iframe中输入字段的值 19
如何使用.Net(C#)在Windows中安全地存储AES密钥? 10
PHP安全根 6
HttpURLConnection conn.getRequestProperty返回null 6
区分桌面用户和移动用户的方法 2
难疑归档
循环内的JavaScript闭包 - 简单实用的例子 2689
如何使用JavaScript漂亮地打印JSON? 2222
将文本垂直对齐到UILabel中的顶部 2141
查找当前目录和文件的目录 2007
如何基于通配符匹配以递归方式查找当前和子文件夹中的所有文件? 1695
使用jQuery作为JS对象向select中添加选项的最佳方法是什么? 1340
MVC和MVVM有什么区别? 1275
从字典中删除元素 1243
为特定提交生成git补丁 1144
有效地使用Git和Dropbox? 1117