3
我們希望允許「正常」的href鏈接到其他網頁,但我們不希望任何人偷偷進入客戶端腳本。從HREF中刪除Javascript
正在HREF和onclick/onmouseover/etc中搜索「javascript:」。事件足夠好嗎?或者還有其他事情要檢查嗎?
A
回答
4
聽起來好像你允許用戶使用標記提交內容。因此,我建議看一看關於防止跨站點腳本的一些文章,這些文章可能會比簡單地阻止JavaScript被插入到HREF標記中。下面是一個我發現,可能是有用的:
http://weblogs.java.net/blog/gmurray71/archive/2006/09/preventing_cros.html
3
您必須使用允許的協議白名單才能完全安全。如果你使用黑名單,遲早你會錯過像「telnet://」或「shell:」或某種可以利用的瀏覽器特定的事情,你從來沒有聽說過...
2
不,有一個你需要檢查更多。
可以對URL的第一個進行編碼(使用HTML實體或URL編碼或兩者的混合)。
其次,你需要檢查畸形的HTML,該瀏覽器可能在猜測,並最終允許在某些腳本。
第三,你需要檢查基於CSS腳本,例如背景:url(javascript:...)或width:表達式(...)
可能還有更多的我錯過了 - 你需要小心!
0
你不得不在用戶輸入時要非常小心。你會想要做一個白名單,但不僅僅是href。例如:
<img src="nosuchimage.blahblah" onerror="alert('Haxored!!!');" />
或
<a href="about:blank;" onclick="alert('Haxored again!!!');">click meh</a>
0
一個辦法是在所有禁止html和使用相同的排序格式,一些論壇使用。只需更換
[url="xxx"]yyy[/url]
與
<a href="xxx">yyy</a>
這會讓你周圍的鼠標等問題,然後,只需確保鏈接開始了與列入白名單協議,沒有引號("或某些可能被php或瀏覽器解密的文件)。
0
聽起來就像您正在尋找PHP的strip_tags的伴侶功能,即strip_attributes。不幸的是,它還沒有被寫入。 (提示提示。)
有,但是,strip_tags文檔,在這裏一個有趣的前瞻性建議:
http://www.php.net/manual/en/function.strip-tags.php#85718
理論上,這將剝奪任何不是一個href,類或ID從提交鏈接;好像你可能想要進一步鎖定它,只需要hrefs。
相關問題
- 1. 從鏈接中刪除字符串href
- 2. 加載外部JavaScript,然後從結果中刪除href屬性
- 3. 刪除的HREF
- 4. 刪除javascript:顯示外部在href
- 5. JavaScript - 從陣列中刪除
- 6. 從sessionStorage中刪除值JavaScript
- 7. Javascript/JQuery從tabindex中刪除
- 8. Javascript確認在一個PHP文件中刪除(在href上)
- 9. 從Python中的href標記中刪除不需要的html
- 10. 從html中刪除信息(在javascript中)
- 11. 調用HREF從JavaScript
- 12. TinyMCE:從頭部刪除Javascript
- 13. 創建/刪除從JavaScript
- 14. 從JavaScript中移除項目從數組中刪除項目
- 15. JQuery.address如何從網址中刪除#(javascript window.location刪除#)
- 16. 如何從標籤中刪除的href屬性和使用jquery
- 17. Node.js EJS模板:我如何從href中刪除端口號?
- 18. 如何從jQuery的鏈接href中刪除#號?
- 19. 從對象圖(JavaScript)中刪除兒童
- 20. 從Javascript對象中刪除屬性
- 21. Magento:從結算頁面中刪除JavaScript
- 22. 使用javascript從html中刪除div
- 23. 從JavaScript對象中刪除胸墊
- 24. 從重定向JavaScript的URL中刪除#
- 25. 從javascript數組中刪除零值
- 26. JavaScript從URL中刪除參數
- 27. 從html中刪除特定的javascript
- 28. 從json文件中刪除空值javascript
- 29. PHP:從html中刪除javascript事件
- 30. 從javascript中刪除郵政編碼