gpt4 book ai didi

javascript - 禁止 div 中的 javascript

转载 作者:行者123 更新时间:2023-11-30 20:00:01 24 4
gpt4 key购买 nike

目前我正在做一个网站。在此网站内,管理员可以发布文本。

我想为用户提供使用 HTML 代码的可能性,但我不希望他们能够发布 javascript 代码。

是否有禁止 javascript 的 html 标签(或解决方法)?

最佳答案

没有阻止内联 JS 运行的纯 html 标记。

在众多解决方法中,最优雅的方法是使用 CSP header 完全禁用内联脚本标记,但这可能无法实现,具体取决于您当前的架构。您还可以考虑使用一些清理库来清理帖子内容,有一些简单的策略,例如使用正则表达式查找 <script标签。

我建议阅读 https://glebbahmutov.com/blog/disable-inline-javascript-for-security/更好地了解 CSP 的工作原理以及您有哪些选择。

同样值得一读https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

关于javascript - 禁止 div 中的 javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53482940/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com