- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
在每个人都告诉我不应该进行客户端清理之前(我确实打算在客户端上进行清理,尽管它也可以在 SSJS 中工作),让我澄清一下我正在尝试做的事情.
我想要类似于 Google Caja 的东西或 HTMLPurifier但对于 JavaScript:一种基于白名单的安全方法,它处理 HTML 和 CSS(当然还没有插入到 DOM 中,这不安全,但首先以字符串形式获取),然后选择性地过滤掉不安全的标签或属性,忽略它们或可选择将它们作为转义文本包含在内,或以其他方式允许将它们报告给应用程序以进行进一步处理,最好是在上下文中。如果它也能像在 Google Caja 中那样将任何 JavaScript 减少到一个安全的子集,那就太棒了,但我知道这会要求很多。
我的用例是访问通过 JSONP 获得的不受信任的 XML/XHTML 数据(在 wiki 处理之前来自 Mediawiki wiki 的数据,从而允许原始但不受信任的 XML/HTML 输入)并允许用户对该数据(XQuery、jQuery、XSLT 等)进行查询和转换,利用 HTML5 允许离线使用 IndexedDB 存储等,然后可以在用户查看输入源并构建或导入查询的同一页面上预览结果。
用户可以产生他们想要的任何输出,所以我不会净化他们正在做的事情——如果他们想将 JavaScript 注入(inject)页面,所有权力都交给他们。但我确实想保护那些希望有信心添加代码的用户,这些代码可以安全地从不受信任的输入中复制目标元素,同时禁止他们复制不安全的输入。
这绝对是可行的,但我想知道是否有任何库已经这样做了。
如果我坚持自己实现这个(尽管我对这两种情况都很好奇),我想证明是使用 innerHTML
还是在插入之前创建/附加 DOM该文件在各个方面都是安全的。例如,如果我第一次运行 DOMParser
或通过使用 innerHTML
将原始 HTML 附加到未插入的 div 来依赖浏览器 HTML 解析,是否会意外触发事件?我相信它应该是安全的,但不确定 DOM 操作事件是否会在插入之前以某种方式发生,从而被利用。
当然,构建的 DOM 需要在那之后进行清理,但我只是想验证我可以安全地构建 DOM 对象本身以便于遍历,然后担心过滤掉不需要的元素、属性和属性值。
谢谢!
最佳答案
ESAPI 的目的是提供一个简单的接口(interface),以清晰、一致且易于使用的方式提供开发人员可能需要的所有安全功能。 ESAPI 架构非常简单,只是封装了大多数应用程序所需的关键安全操作的类的集合。
OWASP ESAPI 的 JavaScript 版本:http://code.google.com/p/owasp-esapi-js
输入验证极难有效地进行,HTML 很容易成为有史以来最糟糕的代码和数据混搭,因为有太多可能放置代码的地方和太多不同的有效编码。 HTML 尤其困难,因为它不仅是分层的,而且包含许多不同的解析器(XML、HTML、JavaScript、VBScript、CSS、URL 等...)。虽然输入验证很重要并且应该始终执行,但它并不是注入(inject)攻击的完整解决方案。最好使用转义 作为您的主要防御措施。我以前没有使用过 HTML Purifier,但它看起来不错,而且他们肯定已经投入了大量时间和思考。为什么不先使用他们的解决方案服务器端,然后再应用您想要的任何其他规则。我见过一些只使用 [ ] ( )
的组合来编写代码的 hack。这里有 100 个更多示例 XSS (Cross Site Scripting) Cheat Sheet和 The Open Web Application Security Project (OWASP) .一些注意事项DOM based XSS Prevention Cheat Sheet .
HTML Purifier 捕获了这种混合编码攻击
<A HREF="h
tt p://6	6.000146.0x7.147/">XSS</A>
这个 DIV 背景图像带有 unicoded XSS 漏洞利用
<DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">
您遇到的一些问题:HTML 和 JavaScript 中字符“<”的所有 70 种可能组合
<
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C
关于基于 JavaScript 的 X/HTML 和 CSS 清理,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5575559/
我需要为元素属性动态构建 XPath 查询,其中属性值由用户提供。我不确定如何清理或清理此值以防止 XPath 等同于 SQL 注入(inject)攻击。例如(在 PHP 中): xpath("//m
问题很简单:在使用 PHPmailer 类时我应该使用任何类型的清理吗? 我制作了使用 phpmailer 类发送电子邮件的简单发送邮件表单。目前我只使用“htmlspecialchars”进行清理(
你可以在python中创建一个在for循环退出时运行清理代码的迭代吗?就像是: from random import randint class Iterable: def __iter__(
假设我定期将数据插入 SQLite 数据库,然后清除前 50% 的数据,但我不清理。 我现在是否有类似文件前 50% 的清零页面之类的东西?如果我添加另一批数据,我是否正在填写那些清零的页面? 手册中
我有一堆 HTML 代码,我想在其中删除所有 HTML 标记。 我认为 Regex(正则表达式)可以做到这一点。通过搜索和替换,我将如何执行此操作? 我尝试了 ,我认为 * 是通配符,但显然不是。
我仍在学习 Haskell,我想知道是否有一种不太冗长的方法来使用 1 行代码来表达以下语句: map (\x -> (x, (if mod x 3 == 0 then "fizz" else "")
我需要怎么做才能正确清理/转义程序化SSH命令中输入的参数? 例如,路径参数- public boolean exists(String path) { try { Chann
这个问题已经有答案了: How to clear the canvas for redrawing (25 个回答) 已关闭10 个月前。 我目前正在尝试创建一个带有雨滴落下的 Canvas ,我唯一
我目前正在使用此过程来清理/过滤用户输入的评论 -> 这个是用来去掉斜线的……和 if (get_magic_quotes_gpc()) { function stripslashe
是否可以在 portal_setup 中删除旧的导入配置文件。 目前,我的网站上有许多可追溯到 2009 年的条目:: import-all-profile-Products.Archetypes_
假设我有多个指令,包括以下内容: ...template content... ...template content... 你如何销毁指令?通常我会在 jquery 中做一些我 $('#2').re
我正在开发一个可移植java应用程序,它可以在用户的PC(Windows XP)上动态生成一些文件。现在,我想要的是在java程序退出后删除这些临时文件。显然,java的文件删除机制是不可信的。即
我有一个 argv c 程序,它反转单词,并查看它是否是回文。我只是想清理输出并让它打印原始输入而不是相反的输入,但由于它是 argv,我似乎不知道该怎么做。 int main(int argc, c
我的网页上有一篇用 markdown 写的文章,我想在索引页上显示一份简短的简历。 问题是正文有markdown,我想在简历上显示纯文本。 例如: Article text: Hello people
在下面的代码片段中,可以做些什么来a)让编译器安静,b)清理交叉的指针困惑? extern struct tree *sintablein[sintablesize]; struct tree *(*
我试图弄清楚 WeakHashMap 在垃圾收集后如何清理。正如你们中许多人可能知道的那样,当 WeakHashMap 条目的键被垃圾回收时,它会自动删除。但是,例如,如果我做这样的事情: List>
我对构建的理解是,它只编译上次构建中编辑过的Java文件,而干净构建将删除所有类文件并重新编译所有文件。那么,当单独构建就足以满足我提供最新版本的类文件的需要时,干净构建的效用是什么? 最佳答案 有时
是否有任何简单的(内置的、附加的、开源的或商业的)在 Postgresql(主从)上进行复制,以便在复制时清理从属内部的数据以符合 PCI 合规性? ETL工具怎么样?它不一定是瞬时的……最多一个小时
我有一个将数据保存到 MySQL 数据库的网站 在将 HTML 插入 MySQL 或在我的网站上显示它时,我应该转义 HTML 吗? 理想情况下,我想将原始 HTML 输入到我的数据库中,并在每次从中
我知道我已经asked一个关于 sanitizer 和转义的问题,但我有一个问题没有得到回答。 好了,到此为止。如果我有一个 PHP 脚本并且我 GET用户输入和SELECT它来自 mySQL 数据库
我是一名优秀的程序员,十分优秀!