Question

Я создаю сайт, который позволяет пользователям создавать свои собственные сайты с помощью шаблонов HTML.Какой тип настройки HTMLPurifier следует использовать для блокирования XSS-атак?

В моей системе шаблонов я позволил бы им редактировать только определенные части шаблона (то есть не весь HTML-файл, а только его части),Это не позволяет им редактировать внешний тег, что нормально, но я не хочу, чтобы они использовали javascript в указанных конкретных частях.

Кто-нибудь, у кого уже есть этот тип настройки HTMLPurifier?

Charles · Answer 1 · 19 марта 2011

Звучит так, будто ты хочешь белый список. Это хорошо, потому что так работает HTML Purifier.

Вы сами захотите просмотреть список тегов и атрибутов и просто решить, что именно разрешить.

Разрешать только те элементы, которые по своей природе безопасны, разрешать атрибуты, которые не могут содержать CSS или Javascript или ссылаться на внешние ресурсы, такие как изображения.

Если честно, вы можете практически разрешить все, кроме форм / входов, iframes, script / noscript, object / embed, все, что будет в голове, и xmp. Все остальное либо семантическое, либо стилистическое и в основном безвредное.

Какие настройки HTMLPurifier следует включить для разрешения шаблонов HTML?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Какие настройки HTMLPurifier следует включить для разрешения шаблонов HTML?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы