谷歌caja-阻止恶意代码
Google caja - Block malicious code
我的网站上需要安全的html。
我阅读了caja指南,我不确定我是否理解该指南。
https://developers.google.com/caja/docs/gettingstarted/
我想是这样的:
- 用户向我的数据库提交恶意内容
- 我想渲染它。Caja识别恶意代码并阻止它
但是我该如何渲染caja呢?他们没有在自己的页面上解释这一点,他们只展示了如何替换代码。
<script type="text/javascript">
document.getElementById('dynamicContent').innerHTML = 'Dynamic hello world';
</script>
假设我们的文档看起来像这个
<body>
<div class="input">
<h3>User Input </h3>
<script> alert("I am really bad!"); </script>
</div>
<div class="input">
<h3>User Input </h3>
<p> I am safe HTML!</p>
</div>
</body>
我该如何告诉caja阻止脚本标记?
如果你只想净化html(即根本不执行脚本),你不需要所有的Caja,只需要html净化程序。
使用:
<script src="http://caja.appspot.com/html-css-sanitizer-minified.js"></script>
<script>
var sanitized = html_sanitize(untrustedCode,
/* optional */ function(url) { return url /* rewrite urls if needed */ },
/* optional */ function(id) { return id; /* rewrite ids, names and classes if needed */ })
</script>
如果您不想允许经过净化的css样式,请使用http://caja.appspot.com/html-sanitizer-minified.js相反
在我看来,AntiSamy是一种更好的方法。
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project#What_is_it.3F
这真的很简单
相关文章:
- 从桌面读取python文件时高亮显示代码
- 如何将函数包装在函数中以避免代码重复
- 通过单击表单中的按钮,在代码生成中使用javascript生成字母数字代码
- 货币代码为欧元-金额的格式不应包含小数
- Regex代码只允许一个空格
- 如何将屏幕分辨率乘以 80%,然后在代码中使用
- 从var向代码隐藏函数传递值
- 如何动态插入jquery代码
- 如何在php变量中嵌入JQuery代码
- 代码不会验证
- 如何从rails中的代码中删除新行( )
- 谷歌caja-阻止恶意代码
- 恶意软件将代码注入我的Dojo/WebSocket应用程序:如何防止
- 恶意的javascript代码可以通过$()注入吗?
- 潜在的恶意代码
- 如何防止恶意代码调用我的 JavaScript
- Javascript-从文件(字符串)中清除恶意代码
- 恶意网站:解密代码
- 在网站上发现恶意代码,它是做什么的
- 如何保护API免受来自第三方站点的恶意代码的攻击