此刻,我正在一个网站上工作。在该网站内部,管理员应能够发布文本。
我想为用户提供使用HTML代码的可能性,但我不希望他们能够发布javascript代码。
是否有禁止使用javascript的html标签(或替代方法)?
答案 0 :(得分:1)
没有可阻止内联JS运行的普通html标签。
在许多解决方法之间,最优雅的方法是使用CSP标头完全禁用内联脚本标签,但这可能无法实现,具体取决于您的当前体系结构。您还可以考虑使用一些清理库来清理帖子内容,其中有一些简单的策略,例如使用正则表达式来查找<script标签。
我建议您阅读https://glebbahmutov.com/blog/disable-inline-javascript-for-security/,以更好地了解CSP的工作原理以及您有哪些选择。
也值得一读https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet