javascript - 在用户提交的 html 中禁用 Javascript

标签 javascript security filter

如果我要创建一个网站,用户可以在其中将任意 html 放入他们的“配置文件”或类似的东西中,我该如何阻止嵌入在该 html 中的 JavaScript 运行?

我可以在某处放置一个无限循环 for(;;); 吗?如果是这样,我应该把它放在哪里?

还有哪些其他安全问题与此方法相关?

最佳答案

嗯,无限循环只会挂起浏览器。

对于 PHP,我推荐 HTML Purifier通过只让好东西进入来阻止邪恶的 HTML :)

Python HTML Sanitizer对于 Python 来说似乎也是一个不错的选择,尽管我还没有机会尝试它。 This StackOverflow question使用 BeautifulSoup 提供一些简单的 HTML 清理器解决方案,但一定要小心第一个答案 - 看起来它没有属性白名单,这对于安全代码也很重要。

关于javascript - 在用户提交的 html 中禁用 Javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3190289/

上一篇:javascript - 匹配某个字符之前的所有内容并匹配某个字符之后的所有内容

下一篇:php - 我可以用 javascript 验证然后用 php 处理吗?

相关文章:

spring - Grails3 Spring Security Plugin RequestMap模式不起作用

security - 网站登录: how should user credentials be sent to the server for verification?

jquery - 过滤后如何过滤?

javascript - Angular4 : Component. 名称在生产中不起作用

javascript - 如何阻止 Kendo UI MultiSelect 在点击时打开?

.net - WCF 服务连接问题 - 也许安全?

MongoDB如何在嵌套数组中进行过滤

java - 修改请求消息体

javascript - 获取由提交按钮触发的表单中字段的数据,并将其传递给 PHP 脚本

javascript - 如何从周数和年份中获取一周的第一个日期和最后一个日期?

©2024 IT工具网  联系我们