代码之家  ›  专栏  ›  技术社区  ›  Mahmoud Saleh

为了安全起见,应该删除哪些XML标记?

xss web-applications
  •  2
  • Mahmoud Saleh  · 技术社区  · 15 年前

    我正在制作一个用Java发布Web应用的论坛 我想知道:

    1. 在发布时应该分析和删除哪些XML标记 像 <script> 标签?
    2. 我应该删除标签并保留内容,还是删除带有内容的标签?
    3. 移除它们的正则表达式是什么?
    2 回复  |  直到 15 年前
        1
  •  5
  •   Community Mohan Dere    9 年前

    您想允许用户使用HTML来格式化他们的文章吗?

    1. 不要列出不安全的标签;列出安全标签,只接受这些标签
    2. 这由你决定
    3. 用正则表达式解析HTML/XML的主题 has been covered before
        2
  •  3
  •   Toon Krijthe    15 年前

    你最好问问自己,允许哪些标签。不是要删除的内容。

    你应该保留足够的标签,这样用户就可以在不影响网站的情况下表达自己。也许你应该看看 BB code ,这是为此目的而设计的。

    推荐文章
    Jo-Anne  ·  是否有支持GraphQL、web app测试和移动的测试框架?
    8 年前
    A. Shawkat  ·  获取请求不起作用
    8 年前
    Yura  ·  无法链接引导。min.css和动态web app
    8 年前
    jasonharper  ·  无互联网连接的WiFi连接设备的最佳实践
    8 年前
    Thanh Dong  ·  在spring boot web应用程序中运行jar文件时,创建名为“ConfigurationPropertiesBindingPostProcessor”的bean时出错
    8 年前
    Karim Sawma  ·  react web app中缺少滚动条
    8 年前
    Nathan  ·  Flask API回调侦听器
    8 年前
    David Artmann  ·  Vaadin网格日期渲染器不适用
    8 年前
    Hayden  ·  如何防止计数器的增量超过元素的高度?
    8 年前
    Amin AmiriDarban  ·  如何在新的Post模式下打开Instagram?
    8 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号