我正在尝试制作一个只会查找和删除脚本标签的正则表达式(它是我想要删除的唯一标签,因为我认为它是唯一会造成损坏的标签)。
无论如何,我知道有很多方法可以编写仍然有效的脚本标签。这会抓住他们吗?
<\s*script\s*>.*?<\s*\/script\s*>
编辑
或者尝试将它们全部更改为安全标签会更好吗?你知道它在哪里对标签进行 html 编码吗?但它只能在脚本标签上,因为我仍然希望允许其他 html 标签,如 <b> 和其他东西。
【问题讨论】:
标签: c# javascript regex
在您想要过滤这类事情的几乎所有情况下,最好检查您特别想要允许的内容,而不是您想要禁止的内容>。在 HTML 源代码中隐藏 <script> 标记有无数种创造性的方法,您不想尝试赶上人们可能发明的新标记。另一方面,您可以很容易地创建一个可接受的标签列表并让人们使用这些标签。
【讨论】:
这不是唯一可能造成损坏的标签。考虑以下几点:
<a href="javascript:window.close()">
另外,不,它不会。再次考虑以下几点:
<script language="javascript">window.close()</script>
即使你扩展它来处理脚本标签上的属性,那又如何:
<script src="http://somesite.com/malicious.js" />
老实说,在我个人的估计中,最好的方法是要么有一个非常明确的允许标签/属性的白名单,要么引入你自己的标记并完全禁止裸 html。
编辑:
为您提供更多信息:
白名单只是一个简单的列表,其中列出了允许的内容,禁止其他所有内容,这与您最初的黑名单想法相反,其中脚本标签被禁止,但其他所有内容都被允许。
【讨论】:
该正则表达式将允许<script foo=bar><script> 之类的内容通过(以及可能造成破坏的无数类似内容,但也有一些人们经常忘记的类似内容:
<foo onload="document.write('<scri'+'pt>...<'+'/script>')"></foo>
这也让生活变得困难:-(
【讨论】:
您可以使用这些 Samples 来演示如何使用 MSHTML 有 UI-Less 解析器,在那里您可以删除脚本标签以及您可以实现可以在您的应用程序中完全禁用 javascript 的自定义服务主机,这里是一个 @ 987654322@which 确实帮助了我一次。
有两种方法,1你可以设置不执行javascript的设计模式,另一种是你可以禁用选项URLACTION_SCRIPT_JAVA_USE;
【讨论】:
<b style="left:expression(alert('IE just got pwned'));">Oops...</b>
这里对这些问题进行了很好的讨论:Sanitising HTML is an extremely hard problem.
【讨论】: