предотвратить xss, но разрешить все теги html

Question

Я создаю блог, и в настоящее время я заканчиваю админ-панель.

Так как я буду в основном управлять этим ... я хочу убедиться, что когда я наберу

<ul>
   <li>test</li>
   <li>test</li>
</ul>

покажет мне неупорядоченный список, но также предотвратит теги XSS на всякий случай ...

как я могу это сделать?

Может ли решение создать функции и заменить теги ul, ol, img и т. Д ...?

Answer 1

Стандартный способ работы с XSS при разрешении HTML заключается в следующем:

1. запустить HTML через (настоящий) HTML-парсер
2. удалить любой элемент или атрибут, которого нет в белом списке (используйте сторонний белый список в качестве отправной точки, изучите любые дополнительные элементы / атрибуты, которые вы добавляете, чтобы убедиться, что у них нет средств для внедрения JS, которые вы не знаю о).
3. проверка работоспособности любых URI
4. генерирует чистый HTML из DOM

Особенности будут зависеть от языка, который вы используете.

Answer 2

То, что вы ищете, является дезинфицирующим средством HTML.Их очень сложно написать правильно, поэтому вы должны взглянуть на существующую библиотеку.Для PHP взгляните на HTML Purifier .

Надлежащая защита XSS включает в себя не только очистку HTML.Проект Open Web Application Security Project (OWASP) составил каноническое руководство по предотвращению атак XSS:

Шпаргалка по предотвращению межсайтовых сценариев

Answer 3

Проверьте этот URL - http://refactormycode.com/codes/333-sanitize-html

Есть еще одна полезная тема по этому вопросу, и как ее решить - Каков наилучший способ хранения ввода / разметки ОМУ на сервере SQL и его последующего отображения?