【发布时间】:2009-12-02 23:20:40
【问题描述】:
我正在使用 HTMLPurifier 检查整个 HTML 文档中的 XSS。问题是它似乎去除了不在<body> 标签内的任何东西。但是,我想保留所有内容,只需要注意严重的 XSS 攻击。
任何想法如何允许<HTML>、<HEAD>、<META> 等?
【问题讨论】:
标签: php html htmlpurifier
【发布时间】:2009-12-02 23:20:40
【问题描述】:
大卫,我刚刚在 HTMLPurifier 支持论坛上搜索,发现您一直很忙。
但也许你错过了几个月前addresses your exact issue 的帖子,特别是回复:
完整的文档支持将 (表面上)来一段时间 HTML Purifier 5.x 系列;我们不 实际上有解析代码 有必要实际处理完整的 HTML 文档。
在此之前,您需要捕获头部和 DTD 并将其重新添加到纯化的文档中。
【讨论】:
请记住,您可以构建从“头”运行的 XSS 攻击。
【讨论】:
您可以告诉 HTML Purifier 净化后的代码将在哪个标签中(默认为“div”)。将此设置为“跨度”将阻止所有块级标签。您可以尝试将其设置为“body”,甚至设置为“html”。
【讨论】: