标签: html xss filtering
我有一个表单,用户可以在其中输入文本,该文本稍后将显示在网站的某个位置。我想允许这种类型的格式化,而不仅仅是纯文本。我是否正确地认为,如果我过滤掉<script>,<link>,<style>和<object>标签,我可以安全地从用户更改布局或注入XSS和其他恐怖事件?< / p>
<script>
<link>
<style>
<object>
答案 0 :(得分:0)
在发送问题之后,我意识到这显然是不够的,因为任何标签都可以包含带有JS代码的onClick属性。 糟糕。
onClick