J'ai deux applications où les utilisateurs peuvent soumettre des pages HTML. Je voudrais m'assurer qu'aucun script n'est inclus dans le HTML. Normalement, vous échapper au contenu pour se débarrasser des scripts, mais comme c'est HTML, je ne peux pas le faire. Quelqu'un avec de bonnes suggestions sur la façon de faire cela? Les applications sont écrites en C# et JavaDétection de javascript en HTML
Répondre
OWASP a project html gommage et css
La première chose que je ferais est de voir s'il y a une balise <script>
dans le code HTML. Cela résout le premier problème, alors vous devez vous assurer qu'il n'y a pas d'événements onmouseover/onclick etc. Vous pourriez peut-être utiliser un analyseur DOM pour passer en revue tous les éléments et supprimer tous les attributs commençant par «activé». J'ai peu ou pas d'expérience dans les deux C# en tant que Java, donc je ne connais pas de solutions "plus faciles" qui sont déjà disponibles. Mais peut-être que quelqu'un d'autre ici a une meilleure idée pour ça.
Habituellement, il est beaucoup plus sûr de décider ce que vous permettez, plutôt que d'essayer d'enlever les choses que vous DISALLOW. – sje397
@ sje397 J'ai l'impression qu'il ne veut pas autoriser le javascript. Et vous auriez encore besoin de "retirer" les choses que vous interdisez, non? Si vous voulez autoriser du javascript, il existe d'autres risques de sécurité (comme obtenir le document.cookie et l'envoyer à un emplacement distant .. piratage de session, redirection d'emplacement, etc.) – CharlesLeaf
Oui, j'ai aussi cette impression. Mais je pense au côté serveur, vous devez analyser le code HTML et autoriser uniquement les types d'éléments et les attributs correspondants d'une liste blanche. Avoir une liste de ce qui est permis est beaucoup plus facile que d'essayer de couvrir tous les cas de choses que vous voulez exclure. – sje397
- 1. Détection de clé multiple en Javascript
- 2. Détection de collision "Namespace" en JavaScript?
- 3. Script de détection Javascript
- 4. Détection d'événement Javascript
- 5. Détection et fermeture de cadres en utilisant Javascript
- 6. Processus HTML en javascript
- 7. Recherche en html Javascript
- 8. fonction javascript pour la détection du flash
- 9. Javascript OnChange détection pour textarea
- 10. Détection du changement de textarea html
- 11. Ruby on Rails, détection Javascript
- 12. Détection d'un mauvais fonctionnement de Javascript
- 13. Détection de navigateur fiable avec javascript?
- 14. Les gestionnaires d'événements de détection de Javascript sont disponibles sur l'élément HTML
- 15. Javascript, détection de Smartphone pour les vidéos?
- 16. Détection de Safari 5 avec Javascript
- 17. Détection de débordement div horizontal avec JavaScript?
- 18. écriture javascript div en html
- 19. Détection de mots hébreux dans un document via JavaScript
- 20. Affichage de JSON en html avec javascript
- 21. Extension de formulaires HTML en utilisant Javascript
- 22. javascript vbscript convertir de rtf en html
- 23. comment faire la détection de page html enter touche enfoncée?
- 24. Détection de la prise en charge par le navigateur de l'élément d'entrée de fichier html
- 25. Afficher l'image en cliquant en HTML/Javascript
- 26. Fermer la détection des boutons en utilisant JavaScript
- 27. Détection si un fichier est déjà ouvert en javascript/hta
- 28. Problème de détection de Newlines dans JavaScript Range Object
- 29. HTML \ PHP: technique de détection de Flash Player
- 30. détection du dernier élément de la liste dans jquery/javascript
Cela semble intéressant, allez y jeter un coup d'oeil. – Tomas