筛选用于显示的HTML用户输入_Html_Xss_Filtering

筛选用于显示的HTML用户输入

html

筛选用于显示的HTML用户输入,html,xss,filtering,Html,Xss,Filtering,我有一个表单，用户可以在其中输入文本，这些文本稍后将显示在网站的某个地方。我想允许这种格式，而不仅仅是纯文本。如果我过滤掉、、和标签，我就不会受到用户更改布局或注入XSS和其他恐怖行为的影响，这是对的吗？在发送问题后，我再次意识到这显然是不够的，因为任何标记都可以有一个包含JS代码的onClick属性。哎呀。不，你说得不对。。。考虑使用白名单而不是黑名单

我有一个表单，用户可以在其中输入文本，这些文本稍后将显示在网站的某个地方。我想允许这种格式，而不仅仅是纯文本。如果我过滤掉

、

和

标签，我就不会受到用户更改布局或注入XSS和其他恐怖行为的影响，这是对的吗？

在发送问题后，我再次意识到这显然是不够的，因为任何标记都可以有一个包含JS代码的

onClick

属性。

哎呀。

不，你说得不对。。。考虑使用白名单而不是黑名单