Javascript 用细枝移除img字段中的onerror标签
我想显示带有细枝的HTML 今天,我是这样做的:Javascript 用细枝移除img字段中的onerror标签,javascript,html,security,twig,Javascript,Html,Security,Twig,我想显示带有细枝的HTML 今天,我是这样做的: {{ content | raw }} 但是,如果我的内容包含以下内容: <img src=# onerror=alert(1) /> 它不起作用 你知道我能解决这个安全问题吗 它按预期工作,图像404出现错误。您编写了两次{{content | raw},是否正确?啊,修复了。谢谢;)尝试过?我尝试过escape和escape('js')…这不是twig的任务-你应该使用html净化器进行正确的输入清理,例如,“图像404和错误
{{ content | raw }}
但是,如果我的内容包含以下内容:
<img src=# onerror=alert(1) />
它不起作用
你知道我能解决这个安全问题吗 它按预期工作,图像404出现错误。您编写了两次
{{content | raw}
,是否正确?啊,修复了。谢谢;)尝试过?我尝试过escape
和escape('js')
…这不是twig的任务-你应该使用html净化器进行正确的输入清理,例如,“图像404和错误”?您可以解释一下吗?您已经将图像的src设置为哈希,由于它不是有效的URI,因此无法加载。这将导致404,然后在显示警报的图像上触发dom错误事件。原始筛选器允许您将未初始化的内容返回到屏幕,而转义筛选器将阻止您将HTML直接输出到屏幕。在将内容输出到scre之前,需要对其进行消毒
{{ content | escape }}