所以我使用nodejs来写这个网站。现在这个页面上有一个小聊天论坛,可以打开各种js,html等注入。只是想知道你们是否知道一个可以清理用户数据的js脚本/库?
答案 0 :(得分:17)
node-validator是一个node.js库,用于此目的(验证和清理字符串)。它相当容易使用,并且除了转义标记之外还可以执行其他一些操作(例如,检查和清理字符串以进行跨站点脚本尝试)
答案 1 :(得分:1)
您使用的是Prototype.js等库吗?它有几个用于转义或剥离标签的功能,在这种情况下可以安全使用。我想其他类似的框架也有类似的内置字符串清理功能。
答案 2 :(得分:1)
http://code.google.com/p/google-caja/wiki/JsHtmlSanitizer:
Caja项目包括一个用javascript编写的html-sanitizer,它可以独立于cajoler使用。您可以使用它从html片段中删除可能的可执行javascript。