問題タブ [html-sanitizing]

緩和されたホワイトリストで Jsoup を使用しています。完璧に思えますが、埋め込まれた画像タグを<img alt="" src="data:;base64.

それらの img も受け入れるようにホワイトリストを変更する方法はありますか?

編集：

使用するWhitelist.relaxed().addProtocols("img","src","data")と、それらの img タグは削除されません。ただし、「data:」の後には何でも受け入れます。src コンテンツが「data:;base64」で始まる場合は、それらを保持したいと思います。jsoupで可能ですか？

lxml.html.clean を使用してhtmlをサニタイズしています。すべてのタグから「スタイル」属性を削除しているようですが、私の目的では、スタイル属性を削除しないようにする必要があります。

許可を開始する前に、html のサニタイズ時にスタイル属性を削除しないことに関してセキュリティ上の影響があるかどうかを理解したいと思っています。

この問題に関する専門家からの洞察は高く評価されます。

(私のアプリケーションでは、バックエンド データベースに保存され、ページにレンダリングされる html をエンド ユーザーが作成できることに注意してください。上記の「クリーン」は、悪意のある html (javascript など) を html から削除してから保存するのに適しています。その後のレンダリング)。

feedparser ごとの HTML サニタイズ Web サイト- 「style」が「safe_attrs」のリストに存在しない

（また、これが歩行者の質問である場合は申し訳ありません。私はhtml /サニタイズおよび関連するセキュリティ面に不慣れです）

私はマングースを使い始めたばかりで、「安全な」HTML タグ (つまり、、、、その他) のホワイトリストが必要なユースケースがあり<i>ますが<b>、. 私は現在、このようなものをサポートするサニタイズ ミドルウェアを見つけようとしていますが、これまでのところ、HTML のホワイトリスト登録をサポートしていないようで、文字のホワイトリスト登録だけをサポートしているようです。<u><script>validator.js

私のユースケースは次のとおりです: summernoteを使用して、ユーザー入力に依存する適切にフォーマットされたものを作成し、それらを mongoose を使用して mongodb に保存し、その特定の HTML を別の場所に表示したいと思います。

これに役立つミドルウェアはありますか？

post 変数をフィルタリングするには、インクルード ファイルで次の関数を使用します

次のコードを使用してメイン ファイルの投稿配列をフィルタリングすると、

私は受け取ります

何か案が？

PrimeFaces/OmniFaces などの JSF ユーティリティ キットまたはライブラリで使用できる HTML サニタイザーまたはクリーンアップ メソッドはありますか?

p:editor を介してユーザーが HTML 入力をサニタイズしescape="true"、stackexchange スタイルに従って、 を使用して安全な HTML 出力を表示する必要があります。HTML を表示する前に、サニタイズされた入力データをデータベースに保存して、安全に使用できるようにしescape="true"、XSS が危険にならないようにすることを考えています。

私は最近、正規表現を使用して html 文字列を「サニタイズ」することによってタスクを処理するソリューションについて、少し偏執的になりました。それらは、指定された正規表現がどの程度「防弾」であるかに大きく依存します。それで、私はこのスニペットを思いついたので、コミュニティからフィードバックを得たいと思っています. ありがとう。

私はstackoverflowでここのようなコメントシステムを書いていますが、出力する前にユーザーコンテンツをサニタイズする最良の方法がわかりません.

データベースに挿入する前にコンテンツをサニタイズすると、今後発生する可能性のあるあらゆる種類の問題を考えることができるため、ページに出力するときにコンテンツをサニタイズしたいと本当に思っています。

これまで、私は常にユーザー コンテンツを実行するだけでした。

私が理解していることから、出力しても安全です。

ただし、コメント システムに使用している WYSIWYG エディターでは、次の HTML タグを書式設定に使用できます。

したがって、コメントを正しく表示するには、タグをエンコードするのではなく、それらのタグを出力できる必要があります。

私が使用している WYSIWYG エディター (Redactor) のドキュメントではstrip_tags()、許可されたタグ引数として上記のタグを渡し、ユーザー コンテンツを で実行することを推奨しています。ただし、stackoverflow で読んだ質問と回答では、これでは不十分である可能性があることが示唆されています。

仮定の下で動作するのstrip_tags()は十分ではありません。私は代替案を検討しており、最も評価の高いオプションの 1 つは HTML Purifier のようです。ただし、ここで質問と回答を読み続けて、HTML Purifier が非常に遅いことを示唆しています。

コメントがレンダリングされる方法のため、各コメントは個別に精製する必要があります (すべてを 1 つの文字列として処理することはできません)。スレッド内の数十または数百のコメント。

概要：

• HTML Purifier は、このタイプのコメント システムには遅すぎますか?
• より良い代替手段はありますか？
• スタックオーバーフローはこれをどのように処理しますか?

MVC ビューにテキストボックスがあり、ユーザーは HTML タグを入力できますが、タグはごくわずかです (B、I、U、A など)。このために、POST アクションの ValidateInput 属性を False に設定して、ユーザーが HTML タグを入力できるようにしました。しかし今、ユーザーが (INPUT、SCRIPT などの) 他の HTML タグを入力することを制限したいと考えています。つまり、許可したいもの以外は何でも。

1つの方法は正規表現を使用することだと思いますが、これに適した正規表現を見つけることができません。

これを達成する方法のアイデアはありますか? これに関するヘルプは大歓迎です。

感謝と敬意