Как HTML-теги могут быть экранированы только в коде, а некоторые теги не экранированы?

Question

Как HTML-теги могут быть экранированы только в коде, а некоторые теги не экранированы?

0

При использовании некоторых текстовых текстовых редакторов (например, текстового редактора на Stack Overflow) мы видим, что некоторые теги, такие как <b>, <i> и т.д., Разрешены, и в определенных разделах кода все теги HTML экранированы.

Как это возможно? Я попробовал это с помощью jQuery, и я думаю, что они используют регулярные выражения, но у меня нет большого опыта использования регулярных выражений.

Мне удалось сделать такие вещи через jQuery AJAX и PHP-скрипты, в которых результат (который экранирован с использованием htmlspecialchars() за исключением определенных допустимых тегов) показан с помощью функции jQuery .html(). Однако я обнаружил, что он уязвим для атаки XSS. Я также пытался использовать .text(), но он избегает всех тегов, включая теги, которые я пытался не убежать, и загрузка AJAX также требует времени.

Как я должен заниматься этим?

Hasib Mahmud 30 нояб. 2013, в 13:42

Источник

0

github.com/benweet/stackedit
adeneo 30 нояб. 2013, в 12:42
3

Похоже, что этот вопрос не по теме, поскольку он касается переполнения стека, но на самом деле он является тематическим, поскольку речь идет о технике программирования, которая просто используется для переполнения стека.
BoltClock♦ 30 нояб. 2013, в 12:44
1

@BoltClock'saUnicorn: BoltClock'saUnicorn: извините, мне пришлось испортить его для вас.
Qantas 94 Heavy 30 нояб. 2013, в 12:53
0

Я на самом деле не имел ввиду, как именно переполнение стека делает это. Я просто хочу узнать способ, как избежать некоторых HTML-тегов только в коде, и из него теги остаются неэкранированными только с помощью jquery. Безопасно ли отображать ответное сообщение ajax в div, используя .html() not in .text() as I want some tags to be unescaped htmlspecialchars() после использования htmlspecialchars() ?
Hasib Mahmud 30 нояб. 2013, в 13:04
0

Посмотрите на HTML Purifier - вы можете очень точно указать, какие теги и атрибуты разрешены, а какие следует удалить. Такие вещи, как <b> , сами по себе безопасны.
halfer 30 нояб. 2013, в 13:24

Показать ещё 3 комментария

Теги:

php

javascript

jquery

html

regex

1 ответ

Ещё вопросы

Похоже, что этот вопрос не по теме, поскольку он касается переполнения стека, но на самом деле он является тематическим, поскольку речь идет о технике программирования, которая просто используется для переполнения стека.
@BoltClock'saUnicorn: BoltClock'saUnicorn: извините, мне пришлось испортить его для вас.
Я на самом деле не имел ввиду, как именно переполнение стека делает это. Я просто хочу узнать способ, как избежать некоторых HTML-тегов только в коде, и из него теги остаются неэкранированными только с помощью jquery. Безопасно ли отображать ответное сообщение ajax в div, используя .html() not in .text() as I want some tags to be unescaped htmlspecialchars() после использования htmlspecialchars() ?
Посмотрите на HTML Purifier - вы можете очень точно указать, какие теги и атрибуты разрешены, а какие следует удалить. Такие вещи, как <b> , сами по себе безопасны.

Neeraj Kumar · Answer 1 · 2013-11-30T12-16-00.000Z

Вы можете использовать tinymce в качестве своего редактора и инициализировать его в текстовой области, и после его инициализации вы можете использовать

tinyMCE.init({
    selector: "textarea",
    valid_children : "+body[style],-body[div],p[strong|a|#text]"
});

Делая это, вы разрешаете редактору использовать только определенные теги html-тегов, которые будут экранированы.

Valid_children позволяет вам контролировать, какие дочерние элементы могут существовать в пределах каких родительских элементов. TinyMCE по умолчанию удаляет/разделяет любое непереходное содержимое HTML. Так, например, P не может быть дочерним элементом другого элемента P.

Синтаксис этой опции представляет собой список родителей, разделенных запятыми, с элементами, которые должны быть добавлены/удалены как допустимые дочерние элементы для этого элемента. Например, "+body [style]" добавит стиль как действительный дочерний элемент тела.

Надеюсь, что это поможет вам

Это хорошее начало, но оно не выполняет никакой фильтрации на стороне сервера; таким образом, злоумышленник может внедрить любой HTML-код, который он хочет.
Он никогда не выполнит проверку на стороне сервера, потому что это плагин jquery для редактора wysiwyg, который запускает внешний интерфейс не на стороне сервера. Для серверной части вы должны написать собственное регулярное выражение для удаления этих тегов.