問題タブ [sanitize]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
2 に答える
18890 参照

c# - HTML Agility Pack ストリップ タグがホワイトリストにない

ホワイトリストにないhtmlタグと属性を削除する関数を作成しようとしています。私は次のHTMLを持っています:

HTMLアジリティパックを使用していますが、これまでのコードは次のとおりです。

私が達成しようとしている出力は

つまり、<b>タグのみを保持したいということです。
私がこれを行っている理由は、一部のユーザーが MS WORD から ny WYSYWYG html エディターに cpoy-paste を行っているためです。

ありがとう。!

0 投票する
1 に答える
1577 参照

markdown - JeffAtwoodの例を使用したHTMLのサニタイズ

ここにあるJeffAtwoodのコードを使用してHTMLのサニタイズに取り組んでいます

しかし、私が遭遇している問題は、Markdownリンクをフォームに入力するときです(それらは削除されます)

<http://www.example.com>

これが私が使用しているコードです。

0 投票する
1 に答える
609 参照

ruby - RubyのSanitize/Nokogiriを使用してタグなし要素にアクセスするにはどうすればよいですか?

次の例のように、タグの外側にある要素を含む、不正な形式の可能性のあるHTML入力を受け入れるSanitizeトランスフォーマーを構築しようとしています。

<p>上記が次のように変換されるように、トランスフォーマーにタグ付けされていない要素をタグでラップさせたいと思います。

残念ながら、タグなしの要素はノードではないため、選択する方法がわかりません。私はここで何かが欠けていると確信しています。誰かが私に正しい方向にナッジを与えることができますか?

0 投票する
1 に答える
341 参照

c# - Silverlight 入力のサニタイズ

ねえ、ユーザーがユーザー名、パスワード、バイオなどを変更できるようにする Silverlight アプリケーションがあります。この情報は MySQL データベースに保存され、WCF Web サービスを使用して取得されます。

データベースに入る前に、ユーザーから受け取ったすべての情報をサニタイズする必要があります。現時点では、アポストロフィを DB に保存できません。入力 (silverlight または WCF メソッド) をサニタイズするのに最適な場所はどこですか?どうすればよいですか?

ところで、数日でパラメータ化されたクエリを実装するので、SQL インジェクションについては心配していません。

ありがとう

0 投票する
4 に答える
6497 参照

php - mysql_real_escape_stringなしで連絡フォームをサニタイズします

私は通常、この関数を使用して、フォーム入力をデータベースに保存する前にサニタイズします。

mysql_real_escape_string今日まで、データベースに保存する前にデータをクリーンアップしているときにのみ使用していたため、データベース接続が必要であることに気づいていませんでした。

お問い合わせフォームでこの機能を使ってみたところ、「サーバーへのリンクを確立できませんでした」というエラーが表示されました。データベースに接続することはできましたが、連絡フォームを介して電子メールに送信される前にデータをサニタイズしようとしているだけなので、必要はありません。

mysqlデータベースに保存されていないデータをサニタイズするための最良の方法は何ですか?このデータはまだサニタイズする必要がありますか?

0 投票する
5 に答える
10252 参照

php - PHP: How to mass replace $_POST[...] with strip_tags($_POST[...])

I'm currently recovering from a nasty XSS attack, and realized I never sanitized inputs on several of the forms on my site. I used Notepad++'s Find In Files feature to search for $_POST in all my PHP files, and got almost 5,000 results. Now, I really don't want to go and manually add strip_tags to every one of those results, but a replace-all wouldn't do the trick... and I'm a total noob when it comes to things like regular expressions.

Is there any way to make this a little less tedious?

0 投票する
1 に答える
283 参照

ruby-on-rails - ビュー内の Rails sanitize() に関するアドバイス、またはコードの安全性について

このsanitize()コードを含むパーシャルがあります:

ユーザーが動画、リンク、写真を埋め込んだり、斜体や太字などを使用できるようにしてほしい.

これはどれほど安全ではないのでしょうか? また、これをライブ Web サイトに掲載する場合、何を予期し、対処する準備をしておく必要がありますか?

注: これは明らかに入力のサニタイズがないことを前提としています。

読んでくれてありがとう。

0 投票する
1 に答える
465 参照

cakephp - CakePHP: サニタイズのオーバーロード

最近の CakePHP 1.3.4 バージョンで、Sanitize::html が 2 重にエンコードされた html エンティティを返すことを発見しました。

これは CakePHP の対応するチケットです: http://cakephp.lighthouseapp.com/projects/42648/tickets/1152-sanitizehtml-needs-double_encode-parameter-in-htmlentities

PHP 5.2.14 で CakePHP 1.3.4 を使用する必要があるため、double_encode パラメーターを変更する必要があります。コアをいじる必要がないように、cake で Sanitize::html メソッドをオーバーロードする方法はありますか?

0 投票する
1 に答える
617 参照

security - ネットワーク化されたアプリケーション用にユーザーが作成したファイル名をサニタイズする方法は?

私は、ユーザーが友人からファイルを受信できるインスタント メッセージング アプリに取り組んでいます。

受信したファイルの名前はファイルの送信者によって設定され、複数のファイルをサブディレクトリの可能性とともに一緒に送信できます。たとえば、一緒に送信された 2 つのファイルが「1」と「sub/2」である場合、ダウンロード結果は「downloads/1」と「downloads/sub/2」のようになります。

これによるセキュリティへの影響が心配です。私の頭のすぐ上にある 2 つの潜在的に危険なファイル名は、「../../../somethingNasty」または「~/somethingNasty」のような Unix ライクなユーザー向けです。私の頭をよぎる他の潜在的な問題は、ターゲットファイルシステムでサポートされていない文字を含むファイル名ですが、それははるかに難しいようで、無視したほうがよいのでしょうか?

受け取ったファイル名から「..」と「~」を削除することを検討していますが、問題のケースを個別に考えるこの種のブラックリスト アプローチは、優れたセキュリティのレシピとは思えません。ファイル名をサニタイズして不吉なことが起こらないようにするための推奨される方法は何ですか?

違いがある場合、私のアプリは QT フレームワークを使用して C++ で実行されています。

0 投票する
3 に答える
16773 参照

ruby-on-rails - Rails コントローラー内でサニタイズを使用する

sanitizeコントローラー内で呼び出そうとしています。これが私が試したことです:

ただし、次のエラーが発生します。

私は周りを検索し、人々は include 行を include に切り替えることを勧めましたActionView::Helpersが、それはこのエラーになります:

正しい呼び方はsanitize?Rails 2.3.5 を使用しています。