javascript - 禁止 div 中的 javascript

标签 javascript html web

目前我正在做一个网站。在此网站内,管理员可以发布文本。

我想为用户提供使用 HTML 代码的可能性,但我不希望他们能够发布 javascript 代码。

是否有禁止 javascript 的 html 标签(或解决方法)?

最佳答案

没有阻止内联 JS 运行的纯 html 标记。

在众多解决方法中,最优雅的方法是使用 CSP header 完全禁用内联脚本标记,但这可能无法实现,具体取决于您当前的架构。您还可以考虑使用一些清理库来清理帖子内容,有一些简单的策略,例如使用正则表达式查找 <script标签。

我建议阅读 https://glebbahmutov.com/blog/disable-inline-javascript-for-security/更好地了解 CSP 的工作原理以及您有哪些选择。

同样值得一读https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

关于javascript - 禁止 div 中的 javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53482940/

上一篇:javascript - Javascript 中的正则表达式无需回溯即可找到由 @ 包围的数字

下一篇:javascript - 错误 : The ChromeDriver could not be found

相关文章:

javascript - 使用javascript在表格模式下验证表单

html - 调整 Google Maps API 的宽度和高度

web - OSGi 和芝麻与 OWLIM

Javascript 表单验证的缺点

javascript - 如何设置公共(public) Google Cloud Storage 存储桶的 CORS 以避免使用 javascript fetch 函数时出现错误?

javascript - 我如何在单个选择上存储两个信息并在单独的文本框 HTML/JS 中调用它们

html - 空白区域上的跨度光标样式。 IE8问题

javascript - 从选定的选项卡 css 获取页面类型/名称是一个可行的想法吗?

Facebook 帐户取消链接或取消授权 Facebook 应用程序并检查 Facebook 应用程序的链接状态

javascript - 如何使用 Selenium 进行硬刷新

©2024 IT工具网  联系我们