个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
24
4
有谁知道 Text 类型的 DOM Node 是否保证不会被浏览器解释为 HTML?
更多详细信息如下。
背景
我正在为一个 friend 构建一个简单的网络评论系统,我一直在思考 XSS 攻击。我不认为过滤或转义 HTML 标签是一个非常优雅的解决方案——想出一个可以绕过过滤器的卷积太容易了。根本问题是,我想保证,对于某些内容(即随机未经身份验证的网络用户发布的内容),浏览器从不尝试解释或运行该内容。
一个普通的(文本)开始
首先想到的是使用Content-Type: text/plain,但这必须应用于整个页面。您可以将纯文本 IFRAME 放在页面中间,但这很丑陋,并且如果用户点击进入框架,它会产生焦点问题。
innerText/textContent/JQuery
事实证明,有一些特定于浏览器的属性(IE 中的 innerText,FF、Safari 中的 textContent 等)属性在设置时需要创建单个 Text 节点。
JQuery 试图通过实现单个函数 text(val) 来避免特定于浏览器的属性的差异,该函数跳过特定于浏览器的属性并直接转到 document.createTextNode(text ),正如您猜到的那样,它创建了一个 Text 节点。
W3 DOM 文本 节点
所以我认为这接近我想要的,它看起来不错——Text 节点不能有子节点,而且看起来它们不能被解释为 HTML。但我不是 100% 从官方文档中确定。
节点:http://www.w3.org/TR/DOM-Level-3-Core/core.html#ID-1950641247 文本:http://www.w3.org/TR/DOM-Level-3-Core/core.html#ID-1312295772 textContent:http://www.w3.org/TR/DOM-Level-3-Core/core.html#Node3-textContent textContent 中的部分特别令人鼓舞,因为它说“在设置时,也不执行解析,输入字符串被视为纯文本内容。”但这是所有 Text 节点的基础,还是仅设置了 textContent 的节点的基础?这可能看起来像一个愚蠢的狡辩,但它可能很重要,因为 IE 不支持 textContent(见上文)。
回到最初的问题
任何人都可以确认/拒绝这行得通吗?也就是说,兼容 w3 DOM 的浏览器永远不会将 Text 节点解释为 HTML,无论内容是什么?如果能解决这个令人痛苦的小不确定性,我将非常感激。
感谢您的宝贵时间!
最佳答案
是的,这已得到证实,无论是哪种浏览器,该浏览器都会有 严重 缺陷。呈现除文本以外的任何内容的文本节点将是矛盾的。通过使用 document.createTextNode("some string");并附加该节点,字符串保证呈现为文本。
关于javascript - DOM 文本节点是否保证不会被解释为 HTML?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/476821/
24
4
0
表架构 DROP TABLE bla; CREATE TABLE bla (id INTEGER, city INTEGER, year_ INTEGER, month_ INTEGER, val I
我需要拆分字符串/或从具有以下结构的字符串中获取更容易的子字符串。 字符串将来自 window.location.pathname 或 window.location.href,看起来像 text/n
每当将对象添加到数组中时,我都会尝试更新 TextView ,并在 TextView 中显示该文本,如下所示: "object 1" "object 2" 问题是,每次将新对象添加到数组时,它都会覆盖
我目前正在寻找使用 Java 读取网站可见文本并将其存储为纯文本字符串的方法。 换句话说,我想转换成这样: Hello stupid World进入“ Hello World ” 或者类似的东西 Un
我正在尝试以文本和 HTML 格式发送电子邮件,但无法正确发送正确的 header 。特别是,我想设置 Content-Type header ,但我找不到如何为 html 和文本部分单独设置它。 这
我尝试了上面的代码,但我无法绑定(bind)文本,我怎样才能将资源内部文本 bloc
我刚刚完成了 Space Shooter 教程,由于没有 GUIText 对象,所以我创建了 UI.Text 对象并进行了相应的编码。它在统一播放器中有效,但在构建 Web 应用程序后无效。我花了一段
我有这个代码: - (IBAction)setButtonPressed:(id)sender { NSUserDefaults *sharedDefaults = [[NSUserDefau
抱歉标题含糊不清,但我想不出我想在标题中做什么。无论如何,对于图像上的文本,我使用了 JLabel 文本并将其添加到图标中。 JLabel icon = new JLabel(new Imag
关闭。这个问题是not reproducible or was caused by typos .它目前不接受答案。 这个问题是由于错别字或无法再重现的问题引起的。虽然类似的问题可能是on-topi
我在将 Twitter 嵌入到我从 HTML 5 转换的 wordpress 运行网站时遇到问题。 我遇到的问题是推文不是我的自定义字体... 这是我无法使用任何 css 定位的 HTML 代码,我正
我正在尝试找到解决由于使用以下形式的代码而导致的冗余字符串连接问题的最佳方法: logger.debug("Entering loop, arg is: " + arg) // @1 在大多数情况下,
我写了这个测试 @Test public void removeRequestTextFromRouteError() throws Exception { String input = "F
我目前正在创建一个正则表达式来拆分所有匹配以下格式的字符串:&[文本],并且需要获取文本。字符串可能类似于:something &[text] &[text] everything &[text] 等
有没有办法将标题文本从一个词变形为另一个词,同时保留两个词中使用的字母?我看过的许多 css 文本动画大多是视觉的,很少有旋转整个单词的。 我想要做的是从一个词过渡,例如“BEACH”到“CHANGE
总结matplotlib绘图如何设置坐标轴刻度大小和刻度。 上代码: ?
我在容器 (1) 中创建了容器 (2)。你能帮忙如何向容器(1)添加文本吗?下面是我的代码 return Scaffold( body: Padding( padding: c
我似乎找不到任何人或任何人这样做过。我试图限制我们使用的图像数量,并想创建一个带有渐变作为其“颜色”的文本,并在其周围设置渐变轮廓/描边 到目前为止,我还没有看到任何将两者结合在一起的东西。 我可以自
我正在为视频游戏暗黑破坏神 2 使用 discord.py 构建一个不和谐机器人。其中一项功能要求机器人从暗黑破坏神 2 屏幕截图中提取项目的名称和属性。我目前正在为此使用 pytesseract,但
我很难弄清楚如何旋转 strip.text theme 中的属性来自 ggplot2 .我使用的是 R 版本 3.4.2 和 ggplot2 版本 2.2.1。 以下是 MWE 的数据。 > dput
我是一名优秀的程序员,十分优秀!