3
我正在使用HTMLPurifier檢查整個HTML文檔中的XSS。問題在於它似乎會去掉<body>標籤內部的任何內容。但是,我想保留所有內容,只留意嚴重的XSS攻擊。HTMLPurifier,檢查整個HTML文檔
任何想法如何允許<HTML>,<HEAD>, <META>等?
A
回答
4
大衛,我剛剛在HTMLPurifier支持論壇上搜索,看到你一直很忙。
但是,也許你錯過了從幾個月前的發帖稱addresses your exact issue,明確的答覆:
全文檔的支持將 (表面上)走在了 HTML過濾5.x系列已經有一段時間;我們不需要 實際上有必要解析代碼 實際處理完全 HTML文檔。
在此之前,您需要捕獲您的頭部和DTD並將其重新添加到純化的文檔中。
0
請記住,您可以構建從'head'運行的XSS攻擊。
0
你可以告訴HTML淨化器純淨的代碼將在裏面(默認爲'div')。將其設置爲'span'會阻止所有塊級別的標籤。你可以嘗試將它設置爲'body',甚至是'html'。
相關問題
- 1. 使用REST確保檢查HTML文檔
- 2. 如何編程檢查HTML文檔
- 3. ASP.Net HTML文檔查看器
- 4. Mongo:檢查鎖定文檔
- 5. 可擴展查看和自動調整大小的HTML文檔
- 6. CSVReader不檢查整個文件
- 7. 如何在整個文檔
- 8. 在整個HTML文檔的正文中獲取一致的完整背景
- 9. 使用XPath在整個HTML文檔中查找並替換關鍵字
- 10. 包括HTML文檔的渲染到另一個HTML文檔
- 11. 的IntelliJ適用於整個整個文件檢查修復
- 12. 對HTML文檔執行拼寫檢查的高效算法
- 13. 在Safari 4中檢查HTML文檔的快捷方式
- 14. 使用JavaScript檢查HTML文檔中的活動元素
- 15. 如何更改和檢索HTML文檔
- 16. 從HTML文檔中檢索單詞量
- 17. 檢查XML的線是有效的(不是一個完整的文檔)
- 18. Ajax返回laravel上的整個HTML文檔
- 19. 查看器對象的完整文檔
- 20. 如何檢測Meteor JS中整個文檔的事件?
- 21. 網頁抓取不檢索整個文檔urllib或請求
- 22. 從phonech中檢索從couchbase lite整個文檔
- 23. HTML文檔
- 24. HTML文檔
- 25. 使用XPath查詢HTML文檔
- 26. 查找HTML部分文檔的內容
- 27. 點擊一個鏈接phantom.js和檢索文檔html
- 28. kohana的HTMLPurifier配置文件
- 29. HTMLPurifier允許居中文本
- 30. Mongoid:檢查現有文檔/嵌入式文檔