防止数据属性中的Javascript注入_Javascript_Php_Xss_Code Injection

防止数据属性中的Javascript注入

javascript php

防止数据属性中的Javascript注入,javascript,php,xss,code-injection,Javascript,Php,Xss,Code Injection,我有一个脚本，可以从API中提取文本，并将其设置为html中的工具提示 <div class="item ttip" data-html="<?php echo $obj->titleTag;?>">...</div> 这不会被上面的问题所困扰。我可以替换window.location的东西，但那看起来很脏。正确的方法是什么？我读了很多“白名单”，但我不理解这种情况的概念 //编辑条带标签内容来源于此：好吧，您现在要替换的不是标签，而是标签中的代码

我有一个脚本，可以从API中提取文本，并将其设置为html中的工具提示

<div class="item ttip" data-html="<?php echo $obj->titleTag;?>">...</div>

这不会被上面的问题所困扰。我可以替换window.location的东西，但那看起来很脏。正确的方法是什么？我读了很多“白名单”，但我不理解这种情况的概念

//编辑条带标签内容来源于此：

好吧，您现在要替换的不是标签，而是标签中的代码。您需要在代码中允许某些属性，而不是剥离标记，因为其中只有一个标记；）

您要做的是检查JS、a中绑定的任何处理程序，然后如果其中包含类似于

onerror

之类的内容，则删除它们

\" <img src="xx" onerror=window.location.replace(https://www.youtube.com/watch?v=IAISUDbjXj0)>