問題タブ [html-sanitizing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby - RailsHTMLサニタイズ
HTMLファイルをサニタイズしようとしていますが、正しく機能していません。段落タグと改行タグを除いて、すべてプレーンテキストにしたい。これが私のサニタイズコードです(ドットは、問題に関係のない私のクラスの他のコードを示します):
正しく機能していません。 これは、関数が入力を読み取っている元のHTMLファイルであり、これは、関数が返す「サニタイズされた」コードです。CSSタグ、JavaScript、およびHTMLコメントタグの本文に残ります。私が気づかなかったのは他のものにも残っているかもしれません。段落と改行タグ以外のすべてのCSS、HTML、JavaScriptを完全に削除する方法についてアドバイスしてください。
security - script タグがないと、ユーザーはブラウザでどのような悪いことを行うことができますか?
ユーザーが任意の HTML を入力できる入力フォームがあります。スクリプトタグ以外に何を除外する必要がありますか? これが私がすることです:
ただし、WMD のサニタイザー(ここでは SO で使用) は、タグのホワイト リストを管理し、他のすべてのタグを除外 (空白) します。なんで?
私はホワイト リストは好きではありません。ユーザーが選択した場合に任意のタグを入力することを妨げたくないからです。しかし、必要に応じて、「スクリプト」以外に、より広範なブラック リストを使用できます。ブラックリストとして何が必要ですか?
c# - Web Protection Library (Anti-XSS) に相当する最小限の信頼性はありますか?
HTML のサニタイズが必要なプロジェクトに取り組んでいます。通常、私はMicrosoft Web Protection Libraryに目を向けます。ただし、この場合、最小限の信頼で実行されるアプリケーションを開発しています。WPL の一部は中程度の信頼を必要とし、残りは完全な信頼を必要とするようです。
最小限の信頼環境で動作する優れた HTML サニタイザーを提案できる人はいますか?
php - PHP htmlspecialchars 関数の Unicode 置換文字
htmlspecialchars 関数では、ENT_SUBSTITUTE フラグを設定すると、無効な文字が置き換えられるはずです。
置き換えられる文字は?また、無効な文字とそれを置き換えるために使用される文字との間のマッピングは何ですか?