gpt4 book ai didi

javascript - 在 html 编辑器中允许 anchor 标记安全吗?

转载 作者:行者123 更新时间:2023-12-03 01:15:47 26 4
gpt4 key购买 nike

我允许在应用程序的一个文本区域内使用 HTML,现在我要在客户端和服务器端验证中阻止某些 HTML 元素和属性。

我想知道允许 anchor 是否明智 <a>标签。我真的需要我的用户能够输入 anchor 。然而,我正在思考坏人可能会如何滥用 anchor 标记。

这就是我的想法。

  1. 可以使用它执行外部脚本。例如

    http://external/website/js/function ">虚拟文本

  2. 盗贼可以简单地从源域内执行我自己的 JS 函数之一。

    明白了!

    虚拟文本

当然,我可以通过确保所有内容都在适当的范围内来缓解#2,但我只是出于一个好习惯而担心,即尝试考虑可能发生的所有邪恶事情,以便我可以将它们合并到我的代码/设计中。

还有其他方法可以滥用 anchor 标记吗?

最佳答案

是的,在应用程序中允许使用 a 标记是安全的。为了具体回答您的问题,您已经涵盖了大部分问题,但是某个地方的某人正在尝试新的问题。

使用最新的过滤库来绕过它可以减轻 xss 攻击 link

一旦输入格式正确(转义不受信任的数据),就可以通过 HTML 解析器运行它。这会删除现有白名单中不存在的任何内容。

您不需要自己编写,并且已经存在许多 link ,其他可用。

附注建议您在服务器端而不是客户端进行过滤。 link

关于javascript - 在 html 编辑器中允许 anchor 标记安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52024186/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com