防止Javascript注入(但保留文本格式和图像)
Javascript Injection Prevention (but keep text formatting and images)
详细信息:所有处理都将在服务器端进行。
我希望我的用户能够发布HTML标签,但我正在寻找一种方法来限制可以使用的标签和效果是否有任何现有的在线解决方案(我不想编码我的用户内容。
是:
- 文本+格式
- 链接
- 列表
- 图像
否:
- CSS:按引用、按标记或内联
- JS:通过引用、通过标记或内联
- IFrames
- 对象
有什么想法吗?
您可以使用HtmlAgilityPack将用户的输入解析为HTML,并轻松检测和删除不需要的标记。
http://htmlagilitypack.codeplex.com/
当我在客户端进行消毒时,我倾向于使用sance.js-我相信它具有您想要的所有功能,并且具有更多
https://github.com/gbirke/Sanitize.js/
相关文章:
- 以 HTML 格式预加载图像
- 单击按钮并将其下载为图像格式时,如何使用引导模式弹出窗口显示D3图表
- 使用年、月、日期、小时、秒格式每分钟刷新一次图像
- 防止Javascript注入(但保留文本格式和图像)
- 将鼠标悬停在图像上,图像的不透明度和图像下方标题的颜色会发生变化..同样,当标题变成两行时,它会破坏格式
- html5中的CANVAS支持哪些图像格式
- PDFKit:PNG的未知图像格式错误
- 从单选按钮中获取值以选择 html 格式的图像
- 如何在Raphael paper.image中嵌入Base64图像格式
- 在javascript中显示不同的图像格式
- 以代码格式下载图像
- 图像属性格式不正确
- 图像未在追加时以 html 格式呈现
- 需要将应用于图像的筛选器样式转换为特定的 JSON 格式
- 格式中的图像在选择事件时将用户发送到新页面时,选择标记被破坏
- 当请求php脚本生成的图像时,如何使用javascript/其他方法以某种格式打印日期
- 将flot图表保存为图像或pdf格式
- SVG图像格式
- 以PDF格式下载带有图像和图案的SVG
- 如何使用JavaScript将Byte[]格式的图像转换为Base64string