如何分析HTML字符串以使其有效
我有一个表单,它以HTML的形式获取用户输入(BB或类似的解决方案不行,我没有控制权)。 现在我需要确保所有标签都已关闭,这样就不会破坏我页面的html布局。如何分析HTML字符串以使其有效,html,xss,Html,Xss,我有一个表单,它以HTML的形式获取用户输入(BB或类似的解决方案不行,我没有控制权)。 现在我需要确保所有标签都已关闭,这样就不会破坏我页面的html布局。 我想到的最简单的解决方案是在iFrame中仅显示从用户处获得的snipet。 有更好的方法吗? (同样,我对特定的输入和获取方式没有控制权)。我个人会检查并只允许某些标记(例如“或”等)。如果希望允许所有html,可以使用客户端工具,如“”。我不确定您使用的是什么服务器端技术,但您也需要对其进行清理/消毒 除了检查布局是否正确(如果htm
我想到的最简单的解决方案是在iFrame中仅显示从用户处获得的snipet。
有更好的方法吗?
(同样,我对特定的输入和获取方式没有控制权)。我个人会检查并只允许某些标记(例如“或”等)。如果希望允许所有html,可以使用客户端工具,如“”。我不确定您使用的是什么服务器端技术,但您也需要对其进行清理/消毒
除了检查布局是否正确(如果html来自不受信任的源),您还需要查看脚本标记以防止XSS或其他安全风险。有关更多详细信息,请参见本页()。我知道这不是确切的问题,但检查它确实很重要。如果将字符串传递给jQuery
$('..')'ddfdfdf''fddfd'