0

ユーザーが HTML テンプレートを使用して独自の Web サイトを構築できるサイトを構築しています。XSS 攻撃をブロックするには、どのような HTMLPurifier 設定を使用すればよいですか?

私のテンプレート システムでは、テンプレートの特定の部分 (つまり、HTML ファイル全体ではなく、その一部のみ) の編集のみを許可します。これにより、タグの外側を編集することはできなくなりますが、これは問題ありませんが、特定の部分で JavaScript を使用することは望ましくありません。

この種の HTMLPurifier セットアップを既に持っている人はいますか?

4

1 に答える 1

1

ホワイトリストが必要なようです。それが HTML Purifier の仕組みだからです。

タグと属性のリストを自分で調べて、何を許可するかを正確に決定する必要があります。

本質的に安全な要素のみを許可し、CSS や Javascript を含めることができない属性、または画像などの外部リソースを参照する属性を許可します。

正直なところ、フォーム/入力、iframe、スクリプト/ノスクリプト、オブジェクト/埋め込み、頭に入るすべてのもの、および xmp 以外のすべてを実質的に許可できます。他のすべては、セマンティックまたはスタイルのいずれかであり、ほとんど無害です。

于 2011-03-19T04:55:33.517 に答える