【发布时间】:2019-07-28 02:17:09
【问题描述】:
我正在尝试支持支持特定标签的富文本编辑器,例如h1、h2、h3、p、strong、em、u、sub、@ 987654329@、span{!font-family};、span{!color}; 和 span{!font-size};。
我的要求是对不属于上述列表的所有其他标签进行编码,这样我就可以避免任何类型的 XSS 攻击。有没有在客户端执行此操作的最佳方法。
【问题讨论】:
【发布时间】:2019-07-28 02:17:09
【问题描述】:
您可以使用DOMPurify。这是一个用于净化 HTML 的 Javascript 库,可以根据您的需要进行配置。
但是,当用户的输入将被发送到您的服务器或存储在数据库中时,我不建议使用客户端转义。您也应该始终在服务器端清理您的输入。
【讨论】:
-
为什么两边都需要消毒。您是否期望有人可以使用 Fiddler 捕获请求并对其进行修改?
-
应该在客户端进行消毒,以便: