0

私は新しい Web アプリで古典的な「ユーザー入力サニタイズ」の問題に取り組もうとしていますが、このタスクには Google Caja の HTML Sanitizer サーバー側を使用することにしました。

実装とテストはうまくいきましたが、まだいくつか質問があります。

  • 1) HTML4 の定義しか見つかりませんでした。これは、HTML5 タグが安全ではないということですか?

HTML 5 固有のタグ/属性 XSS を使用していくつかのテストを行いましたが、どれも機能しませんでしたが、テストされていないものが機能しないとは 100% 確信が持てません。

  • 2) Google Caja はあまり活発ではないようですが、これはセキュリティ上の問題になりますか?

  • 3) ユーザーがリンクを共有できるようにしたいのですが、Google Caja のフィルターを通過する安全な方法でこれを行うにはどうすればよいですか? (スタックオーバーフローのように)

  • 4) Caja は Unicode をどのように処理しますか?

前もって感謝します !

4

1 に答える 1

4

1) HTML4 の定義しか見つかりませんでしたが、これは HTML5 タグが安全ではないということですか?

過去数か月で HTML5 のサポートを追加しました。何か不足している場合はお知らせください。

2) Google Caja はあまり活発ではないようですが、これはセキュリティ上の問題になりますか?

あなたはおそらく間違った場所を探していますか?ここでわかるように、私たちはかなり忙しいです。

3) ユーザーがリンクを共有できるようにしたいのですが、Google Caja のフィルターを通過する安全な方法でこれを行うにはどうすればよいですか? (スタックオーバーフローのように)

発信リンクを許可または拒否する URI ポリシーを指定できます。

4) Caja は Unicode をどのように処理しますか?

正しく、私は願っています。うまくいかない場合は、バグを報告してください。

于 2013-06-25T16:52:58.070 に答える