我正在使用HTMLPurifier来检查整个HTML文档中的XSS。问题是它似乎会剥离掉不在
有什么办法可以允许
<body>
标签内的任何内容。但是,我想保留所有内容,只是注意严重的XSS攻击。有什么办法可以允许
<HTML>
、<HEAD>
、<META>
等标签吗?<body>
标签内的任何内容。但是,我想保留所有内容,只是注意严重的XSS攻击。<HTML>
、<HEAD>
、<META>
等标签吗?大卫,我刚在HTMLPurifier支持论坛上搜索并看到你很忙。
但也许你错过了几个月前的帖子,它解决了你的确切问题,特别是回复中提到:
完整文档支持将(表面上)在HTML Purifier 5.x系列中推出; 我们实际上没有必要处理完整HTML文档所需的解析代码。
在那之前,您需要捕获您的 head 和 DTD,并将其重新添加到已净化的文档中。
您可以告诉HTML Purifier净化后的代码将位于哪个标签内(默认为“div”)。将其设置为“span”将阻止所有块级标签。您可以尝试将其设置为“body”,甚至是“html”。
请记住,您可以构造一个从“head”运行的XSS攻击。