問題タブ [whitelist]

'Agh#$%#%2341- -!zdrkfd' のような文字列を想像してみてください。小文字のみが返されるように操作を実行したいだけです (例として)。この場合は 'ghzdrkfd になります。 '。

Pythonでこれをどのように行いますか? 明らかな方法は、「a」から「z」までの文字のリストを作成し、文字列内の文字を繰り返し処理して、リスト内の文字のみから文字ごとに新しい文字列を作成することです。これは原始的なようです。

正規表現が適切かどうか疑問に思っていました。不要な文字を置き換えるのは問題があるようで、ブラックリストよりもホワイトリストを好む傾向があります。機能が適切では.matchないようです。Python サイトの適切なページを調べましたが、適合すると思われる方法が見つかりませんでした。

正規表現が適切でなく、正しいアプローチがループである場合、文字列をリストに「分解」する単純な関数はありますか? それとも、別の for ループを打っているだけですか?

この人の投稿で概説されているように、PHP を介して IP をブロックするのは非常に簡単です。

ただし、IIS を使用してサイト全体でこれを行うにはどうすればよいですか?

ここに私の（大きな）警告があります：

1. php.ini を変更するアクセス権がありません。そのため、auto_prepend 機能を使用できません。
2. IIS を搭載した Windows を使用しているため、.htaccess を使用できません。
3. すべてのスクリプトで呼び出される PHP の「フッター」はありません。実際、多くのページが静的 HTML です。

IIS を使用して IP をホワイトリストに登録する方法はありますか?

幸いなことに、ホワイトリストに登録する IP の静的リストがあるので、簡単に変更する必要はありません。

HTML のサブセット (tinyMCE を使用した入力) を使用するユーザー入力があるという一般的な状況があります。XSS 攻撃に対するサーバー側の保護が必要であり、人々がこれを行うために使用している十分にテストされたツールを探しています。PHP 側では、仕事をする HTMLPurifier のようなライブラリがたくさん見られますが、.NET では何も見つからないようです。

私は基本的に、タグのホワイトリスト、それらのタグの属性にフィルターをかけ、a:href や img:src のような「難しい」属性で正しいことを行うライブラリを探しています。

http://refactormycode.com/codes/333-sanitize-htmlでJeff Atwood の投稿を見たことがありますが、それがどれほど最新のものかはわかりません。サイトが現在使用しているものとはまったく関係がありますか? いずれにせよ、有効な入力を正規表現しようとする戦略に満足できるかどうかはわかりません。

このブログ投稿では、より説得力のある戦略と思われるものを紹介しています。

http://blog.bvsoftware.com/post/2009/01/08/How-to-filter-Html-Input-to-Prevent-Cross-Site-Scripting-but-Still-Allow-Design.aspx

このメソッドは、実際に HTML を解析して DOM にし、それを検証してから、そこから有効な HTML を再構築します。HTML 解析で不正な HTML を適切に処理できる場合は、すばらしいことです。そうでない場合でも、大したことではありません。ユーザーは tinyMCE エディターを使用する必要があるため、整形式の HTML を要求できます。どちらの場合も、私が知っている安全で整形式の HTML を書き直しています。

問題は、そのアルゴリズムを実際に実行するライブラリへのリンクがなく、単なる説明であることです。

そのようなライブラリは存在しますか？そうでない場合、優れた .NET HTML 解析エンジンは何でしょうか? また、追加の検証 a:href、img:src を実行するには、どの正規表現を使用する必要がありますか? ここで他に重要なものがありませんか？

ここでバギーホイールを再実装したくありません。確かに、一般的に使用されるライブラリがいくつかあります。何か案は？

電話番号を入力することになっているユーザー向けの入力があります。問題は、電話番号にハイフンとスペースを入れて書く人がいるということです。入力をフィルターに通して、そのようなものを削除し、数字のみをデータベースに保存したいと考えています。

空白と特殊文字に対して str_replace() を実行できると考えました。ただし、他のすべてを削除するのではなく、数字だけを選択する方が良いと思います。これについて「ホワイトリスト」という言葉を聞いたことがあると思います。

PHPでこれを解決する方向を教えてください。

例：「0333 452-123-4」と入力すると「03334521234」となる

ありがとう！

ユーザープロファイル用に多くのユーザーが送信した html を許可したいのですが、現在、不要なものを除外しようとしていますが、ホワイトリストアプローチを変更して使用したいと考えています。

これが私の現在の非ホワイトリストアプローチです

上記はかなりうまく機能します.2年間使用しても問題はありませんでしたが、ホワイトリストのアプローチでは、stackoverflows C#メソッドに似たものはPHPにありますか? http://refactormycode.com/codes/333-sanitize-html

私の人生では、リモート接続用のsqlserverのホワイトリストにipsをどこに/どのように追加するかを思い出せません。

ありがとう。

XPCOMコンポーネントの開発について読んでいました。ホワイトリストデータとブラックリストデータと呼ばれるこれらの用語に出くわしました。グーグルで調べようとしましたが、わかりませんでした。プログラミングとの関係がわからないので、質問を間違った場所に置いた場合はご容赦ください。

IFrameable コンテンツを作成しています。ユーザーがこのページを IFrame できるようにしたいのですが、ドメインのセット リストからのみです。

親ページのドメイン名を確認するために確認できることはありますか?

私がここでしていることに何か問題はありますか？このようなことを扱うのは初めてですが、さまざまな方法のリスクなどをすべて理解していることを確認したいと思います。

WMDを使用してユーザー入力を取得し、リテラルコントロールで表示しています。入力すると編集できないので、マークダウンではなくHTMLを保存します。

次に、ユーザーが使用できるようにしたいタグに対して、次のようなものを実行します。

編集これが私が現在行っていることです：

1. ここで私がしていることは、XSSから私を保護し続けますか？
2. 他に考慮すべき点はありますか？
3. ホワイトリストに登録する通常のタグの適切なリストはありますか？

Google App Engineで実行可能ファイルを実行することは可能ですか？Runtime.execを使用するのが好きですか？

Google App Engineのドキュメントには、使用できるクラスがリストされているが、クラス内の関数/が指定されていないホワイトリストがあります。