問題タブ [html-sanitizing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
aem - AEM を使用した入力のサニタイズ
さまざまな人が AEM Web サイトを更新していますが、Word またはオンラインからコピーして貼り付けると、HTML が保持されます。AEM に入力をサニタイズする組み込みの方法があるかどうか疑問に思っているので、作成する必要はありません。
node.js - NodeJS での SVG のサニタイズ
信頼できないソースによって作成された SVG ファイルが与えられた場合、それをサニタイズして、潜在的な XSS やその他の同様の脆弱性を取り除く必要があります。理想的には、これは NodeJS ライブラリで行う必要があります。
python - 入力時にhtmlをサニタイズする必要がありますか?
この質問はすでにここで何度も尋ねられており、生の HTML 入力をデータベースに保存し、出力時にエスケープする必要があることにほとんどの人が同意しています。ただし、私のケースは少し異なる場合があると思います。
ユーザーはいくつかのタグ (em、strong、span など) を入力できますが、他のタグ (script、style、meta など) は削除されbleach.cleanます(エスケープしないでください) すべての安全でないタグ。私にとって、これは、表示のためにコンテンツをエスケープすることよりも、検証/サニタイズすることのように感じます。特に、データを提供する形式 (HTML、JSON、またはその他の形式) に関係なく、安全でないタグを削除することになります。
出力時にサニタイズする必要がありますか、それとも入力時にサニタイズする方がよい場合ですか?
ボーナス質問:
これがこのシナリオの適切なアプローチである場合、django で実装する最良の方法は何ですか? フォームレベルの検証またはモデルレベルの検証?
javascript - 私の例のフィドルでは、option.text() は xss に対して脆弱です
アラート ボックスが表示されるのはなぜですか
オプションテキストにエンコードされたバージョン(<script>alert('xss');</script>)がありますが??
オプション テキストに html をエンコードしたため、アラートが表示されないようにしています。
ruby-on-rails - エビを使用してデータベースからhtmlコンテンツをフォーマットする
エビのドキュメントでデータベースから HTML コンテンツをレンダリングする方法
上記のコードから得られる出力は、HTML タグを含む文字列です。のようなものが欲しいhtml_safe。で可能Prawnですか?
javascript - サニタイズを使用してangularjs文字列変数をhtml要素に
AngularJS コード:
HTML コード:
そのため、これには $sanitize を使用し、ng-bind-html ディレクティブを使用して作業を完了しました。
したがって、html ページの結果は次のようになります。
上記は赤色になるはずです
出力は得られましたが、文字列 'check' が赤くなりません! スタイルタグは無視されます! どうすればできますか?補間を使用しますか?
それを行う方法はありますか?うまくいけば、それは簡単です... AngularJSの専門家が助けてください!