个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
并用括起来是否安全?
30
4
一些用户生成的文本(可能包含脚本/代码)将向公众展示。如果我过滤掉所有 <pre>和</pre>标记并用 <pre> 将结果文本括起来和</pre> ,用户提交的脚本有机会被执行吗?
请给我一个如何破解这个保护方案的例子。
最佳答案
Is it safe just filtering out
<pre>and enclosing with<pre>?
没有。
...are there any chance user submitted script be executed?
是的,脚本将被执行。您可以自己尝试一下,只需将其放在页面中即可:
<pre><script>alert("Hi there");</script></pre>
alert显示。
如果您想显示用户生成的内容,第一步是更改所有 &至&然后全部<至< .
但最好根据白名单解析内容,并实际上忽略任何您不想包含的内容。
关于javascript - 过滤掉 <pre> 并用 <pre> 括起来是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22097254/
30
4
0
内的和
看似不可能完成的任务。我有一个服务器输出,其中包含 内的转储。不幸的是,我碰巧转储了一个包含一些 html 标签的文件。我需要转换任何内部 HTML 实体,以便当我将数据附加到 DOM 时结构不会
标签之间的所有内容
我正在读取 .html 文件: const htmlin = String(fs.readFileSync(inputHtml) || ''); const splitted = htmlin.spl
我在 中输入了一些文本, 我输入了一些换行符、空格等。故意。但是,在提交文本并在 内呈现之后, 换行符,空格消失了,它们被类似 \r\n\r\n 的东西所取代, 怎么了?如何保持原始格式? 我
我在里面有很多内容我正在打印的标签。我正在对打印样式使用媒体查询。一切都很好,只是第一页的最后一行被剪切了。其中一半保留在第一页,另一半显示在下一页。我不知道如何将溢出转移到下一页。 最佳答案 我想通
并用括起来是否安全?
一些用户生成的文本(可能包含脚本/代码)将向公众展示。如果我过滤掉所有 和标记并用 将结果文本括起来和 ,用户提交的脚本有机会被执行吗? 请给我一个如何破解这个保护方案的例子。 最佳答案 Is it
标签中移除
我制作了简单的 BBCode 脚本,它运行良好。但后来我使用 javascript 库来美化我在 中的代码. 现在我面临的唯一问题是 中每行代码后的标签标签。 所以问题是我怎样才能删除 在
Markdown 中的三个反引号渲染为 ... 。更具体地说, # in markdown ```java ``` # render as ... # my expecting result
标签内的方括号 (<>) 替换除标签内的换行符
我使用 question 中提供的答案替换了 pre 标签外的所有换行符. \n(?
我是一名优秀的程序员,十分优秀!