我正在使用HTMLPurifier来检查整个HTML文档中的XSS。问题是它似乎会剥离掉不在
有什么办法可以允许
<body>标签内的任何内容。但是,我想保留所有内容,只是注意严重的XSS攻击。有什么办法可以允许
<HTML>、<HEAD>、<META>等标签吗?3个回答
4
大卫,我刚在HTMLPurifier支持论坛上搜索并看到你很忙。
但也许你错过了几个月前的帖子,它解决了你的确切问题,特别是回复中提到:
完整文档支持将(表面上)在HTML Purifier 5.x系列中推出; 我们实际上没有必要处理完整HTML文档所需的解析代码。
在那之前,您需要捕获您的 head 和 DTD,并将其重新添加到已净化的文档中。
- Anthony
0
您可以告诉HTML Purifier净化后的代码将位于哪个标签内(默认为“div”)。将其设置为“span”将阻止所有块级标签。您可以尝试将其设置为“body”,甚至是“html”。
- TRiG
0
请记住,您可以构造一个从“head”运行的XSS攻击。
- Rich Bradshaw
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接