Question

Я пытаюсь поддержать текстовый редактор, который поддерживает определенные теги, такие как h1, h2, h3, p, strong, em, u, sub, sup, span{!font-family};, span{!color}; и span{!font-size};.

Мое требование - закодировать все остальные теги, которые не попадают в приведенный выше список, чтобы я мог избежать любых видов атак XSS.Есть ли лучший способ сделать это на стороне клиента.

Nico Griffioen · Answer 1 · 06 марта 2019

Вы можете использовать DOMPurify . Это библиотека Javascript для очистки HTML, которую можно настроить для удовлетворения ваших потребностей.

Однако я бы не рекомендовал использовать экранирование на стороне клиента, когда вводимые пользователем данные будут отправлены на ваш сервер или сохранены в базе данных. Вы всегда должны очищать свой ввод и на стороне сервера.

Необходимо удалить определенный тег HTML

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Необходимо удалить определенный тег HTML

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы