我正在使用HTMLPurifier在整个HTML文档中检查XSS。问题是它似乎剥离了任何不在<body>标签内的东西。但是,我想保留所有内容,只留意严重的XSS攻击。
任何想法如何允许<HTML>,<HEAD>,<META>等?
答案 0 :(得分:4)
大卫,我刚刚在HTMLPurifier支持论坛上搜索过,发现你一直很忙。
但也许你错过了几个月前的帖子addresses your exact issue,特别是回复:
完整的文档支持将 (表面上)来了一段时间 HTML Purifier 5.x系列;我们没有 实际上有解析代码 实际处理完全必要的 HTML文档。
在此之前,您需要捕获头部和DTD并将其重新添加到纯化的文档中。
答案 1 :(得分:0)
请记住,您可以构建一个从“head”运行的XSS攻击。
答案 2 :(得分:0)
您可以告诉HTML Purifier纯化的代码将在哪个标记内(默认为'div')。将其设置为“span”将阻止所有块级标记。您可以尝试将其设置为“body”,甚至是“html”。