HTML :: StripScripts是否仍然可以安全地删除现代漏洞?

时间:2009-05-06 07:17:59

标签: perl security xss

我需要在Perl中删除一些顽皮的东西,例如XSS,图像插入和工作。

我找到了HTML::StripScripts,但它在近两年内没有更新,而且我还没有及时了解所有新漏洞。

安全吗?

你会使用哪些其他标记语言(在Perl中)?

2 个答案:

答案 0 :(得分:2)

XSS是一个广泛的话题,每隔一天就会出现一次漏洞。

删除脚本不会使您的代码/网站安全。

最好不要尝试剥离(黑名单)某些东西。您在网站上允许的白名单html /特殊字符更安全。即<b>, <i>

Defang似乎是cpan上perl的最新/最强的反XSS库

Blacklisting vs Whitelisting

OWASP XSS Cheat Sheet

我建议和CAL9000一起玩,以了解XSS的广泛/棘手

答案 1 :(得分:0)

HTML :: StripScripts是一个白名单,可以使用基于树的解析器,并且应该像白名单一样安全。