我正在使用HTMLPurifier檢查整個HTML文檔中的XSS。問題在於它似乎會去掉<body>
標籤內部的任何內容。但是,我想保留所有內容,只留意嚴重的XSS攻擊。HTMLPurifier,檢查整個HTML文檔
任何想法如何允許<HTML>
,<HEAD>
, <META>
等?
我正在使用HTMLPurifier檢查整個HTML文檔中的XSS。問題在於它似乎會去掉<body>
標籤內部的任何內容。但是,我想保留所有內容,只留意嚴重的XSS攻擊。HTMLPurifier,檢查整個HTML文檔
任何想法如何允許<HTML>
,<HEAD>
, <META>
等?
大衛,我剛剛在HTMLPurifier支持論壇上搜索,看到你一直很忙。
但是,也許你錯過了從幾個月前的發帖稱addresses your exact issue,明確的答覆:
全文檔的支持將 (表面上)走在了 HTML過濾5.x系列已經有一段時間;我們不需要 實際上有必要解析代碼 實際處理完全 HTML文檔。
在此之前,您需要捕獲您的頭部和DTD並將其重新添加到純化的文檔中。
請記住,您可以構建從'head'運行的XSS攻擊。
你可以告訴HTML淨化器純淨的代碼將在裏面(默認爲'div')。將其設置爲'span'會阻止所有塊級別的標籤。你可以嘗試將它設置爲'body',甚至是'html'。