目前我正在做一个网站。在此网站内,管理员可以发布文本。
我想为用户提供使用 HTML 代码的可能性,但我不希望他们能够发布 javascript 代码。
是否有禁止 javascript 的 html 标签(或解决方法)?
最佳答案
没有阻止内联 JS 运行的纯 html 标记。
在众多解决方法中,最优雅的方法是使用 CSP header 完全禁用内联脚本标记,但这可能无法实现,具体取决于您当前的架构。您还可以考虑使用一些清理库来清理帖子内容,有一些简单的策略,例如使用正则表达式查找 <script
标签。
我建议阅读 https://glebbahmutov.com/blog/disable-inline-javascript-for-security/更好地了解 CSP 的工作原理以及您有哪些选择。
同样值得一读https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
关于javascript - 禁止 div 中的 javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53482940/