我的网站上需要安全的HTML。
我读了caja指南,但我不确定我是否理解了这个概念。
https://developers.google.com/caja/docs/gettingstarted/
我认为它是这样的:
但是如何通过caja渲染呢?他们没有在他们的页面上解释这一点,他们只展示了如何替换代码。
<script type="text/javascript">
document.getElementById('dynamicContent').innerHTML = 'Dynamic hello world';
</script>
假设我们的文档看起来像这样
<body>
<div class="input">
<h3>User Input </h3>
<script> alert("I am really bad!"); </script>
</div>
<div class="input">
<h3>User Input </h3>
<p> I am safe HTML!</p>
</div>
</body>
我如何告诉caja阻止脚本标记?
答案 0 :(得分:12)
如果你想要清理完html(即根本没有脚本执行),你就不需要所有的Caja,只需要html-sanitizer。
使用:
<script src="http://caja.appspot.com/html-css-sanitizer-minified.js"></script>
<script>
var sanitized = html_sanitize(untrustedCode,
/* optional */ function(url) { return url /* rewrite urls if needed */ },
/* optional */ function(id) { return id; /* rewrite ids, names and classes if needed */ })
</script>
如果您不想允许已清理的CSS样式,请改用http://caja.appspot.com/html-sanitizer-minified.js。
答案 1 :(得分:0)
在我看来,AntiSamy是一种更好的方法。
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project#What_is_it.3F
这真的很简单