cho*_*bo2 1 javascript security whitelist html-agility-pack
我试图弄清楚javascript可以编写的所有方法.我正在制作一个可接受标签的白名单,但属性正在让我.
在我丰富的html编辑器中,我允许链接等内容.
<a href="">Hi </a>
现在我使用html敏捷包来摆脱我不支持的属性和html标签.
但是我还不清楚一个人是否可以做这样的事情
<a href="<script>alert('hi')</script>">Bad </a>
所以我不确定我是否必须开始查看我支持的所有属性的内部文本并对其进行html编码?或者如果是什么.
我也不确定如何阻止某个页面的html链接并在加载时启动一些javascript.
我不确定白名单是否可以阻止那个.
<a href="javascript:void(0)" onclick="alert('hi');">Bad</a>
要么
<a href="javascript:alert('hi');">Bad</a>