問題タブ [html-sanitizing]

JavaScriptコードを分析して、これらのJSがWebページに含まれているかどうかを検出して、HTTPリクエストを他のドメインに送信できるかどうか疑問に思っています.

たとえば、静的な Web ページ ファイルを私の Web サーバー (ドメイン A) に配置した人がいて、そのファイルから HTTP 要求を他のサイト (ドメイン B など) に送信したくありません。

これを行うにはいくつかの方法があります。

1. img タグの使用:<img src=“http://domain.b.com/statics”&gt;

2. スクリプトタグの使用。

3. フォームタグの使用。

4. iframe タグを使用します。

さらに、JS を使用して HTTP リクエストを生成することもできます。次に例を示します。

Javascript は難読化される可能性があり、上記の JavaScript は次のように圧縮できます。

AngularJS を使用して、ユーザーが入力したコンテンツを HTML として表示しようとしています。ほとんどの場合、ユーザーは有効/安全なデータを入力しますが、これは ng-bind-html を使用して正しく表示されます。時折、無効な HTML を入力することがありますが、それを未加工のテキストとして表示したい場合があります。

ng-bind-html を使用して無効な HTML を表示しようとすると、次のエラーが発生します。

サニタイザーを信頼しておらず、安全でない HTML をページに表示しないようにしたいので、trustAsHtml を使用したくありません。

その機能の 1 つは、ユーザーが入力した HTML 正規表現パターンを DB に保存し、設定ページに表示する機能である WordPress プラグインに取り組んでいます。

私の方法は実際に機能しますが、そのコードが十分に安全かどうか疑問に思います:

それはユーザーが入力したパターンです:

それが私がDBにHTMLパターンを保存している方法です:

それが実際にWordPress DBに保存される方法です：

そして、それが出力が設定ページに表示される方法です：

手伝ってくれてありがとう ：）

「sanitize-html」に実際にhtmlタグを削除するように指示するにはどうすればよいですか（コンテンツのみを保持します）？現在、たとえば div セクションを保持するように設定した場合、出力にも次のように書き込まれます<div>some content</div>- I want only the inside...('some content')

短くするために-タグ、属性などは必要ありません-それらの要素のコンテンツのみ..

:サニタイズされた HTML でのサインインを許可するにはどうすればよいですか? Javaメールを生成する際にHTMLコードをサニタイズするために使用しています。このコードには、 のようなインライン イメージ コンテンツ ID があり<img src=\"cid:image\" height=\"70\" width=\"70\" />ます。サニタイズすると、src属性はサニタイズされた html に含まれません。

上記のコードの出力は次のとおりです。

私はHTMLをサニタイズするというこの新しい概念 (私にとって) を探しています。このモジュールが何をするかについてはすべて読みましたが、それが何のためにあるのか、どこでそれを使用するのか、これが何に貢献できるのかを本当に理解していません。私の将来のプロジェクト。

それについて読みたい方はこちら>

ps: 実用的な答えが欲しいだけです。

前もって感謝します。