为了安全起见,应删除哪些XML标记?

时间:2010-09-19 09:52:17

标签: web-applications xss

我正在使用Java发布一个论坛发布Web应用程序 我想知道:

  1. 发布时应解析和删除的xml标记是什么 比如<script>代码?
  2. 我应该删除标记并保留内容,还是删除包含内容的标记?
  3. 删除它们的正则表达式是什么?

2 个答案:

答案 0 :(得分:5)

您是否希望允许用户使用HTML格式化其帖子?

  1. 不要列出不安全的标签;制作一个安全标签列表,只接受那些
  2. 这取决于你
  3. 使用正则表达式has been covered before
    4. 解析HTML / XML的主题

答案 1 :(得分:3)

你可以问自己,允许哪些标签。不是要删除的。

您应该保留足够的标签,以便用户可以在不影响网站的情况下表达自己的标签。也许你应该看看BB code,这是为此目的而设计的。

相关问题
最新问题