可以包含javascript的HTML属性
我正在寻找一个包含所有html属性的简单列表,这些属性可以包含在执行操作时自动运行的javascript。我知道这在浏览器和版本之间会有所不同,但我宁愿更安全也不后悔。我目前知道以下javascript属性:可以包含javascript的HTML属性,javascript,html,Javascript,Html,我正在寻找一个包含所有html属性的简单列表,这些属性可以包含在执行操作时自动运行的javascript。我知道这在浏览器和版本之间会有所不同,但我宁愿更安全也不后悔。我目前知道以下javascript属性:onload,onclick,onchange,onmouseover,onmouseout,onmousedown和onmouseup 背景故事: 我从一个不受信任的源中获取了一个完整的html文档,我想从原始html文档中删除所有可以运行的javascript,因此我删除了所有脚本标记以
onload
,onclick
,onchange
,onmouseover
,onmouseout
,onmousedown
和onmouseup
背景故事:
我从一个不受信任的源中获取了一个完整的html文档,我想从原始html文档中删除所有可以运行的javascript,因此我删除了所有脚本标记以及在iframe中显示javascript之前可以保存javascript的任何属性。对于这种植入,没有服务器端处理,也没有沙箱化代码的方法,因为我需要运行在删除所有原始javascript后本地添加的javascript。
向下滚动至18.2.3内部事件
我在一个项目中也有类似的要求。也不要忘记剥离脚本元素。在HTML属性中有两个地方可以使用Javascript:
onEVENT
属性。我建议将上以开头的任何属性都视为事件绑定,并将它们全部去掉
Javascript:
方案,例如href
和src
,则可以包含URI的任何属性都将作为Javascript执行。一份完整的清单在清单中这不包括
href=“javascript:…”
和src=“javascript:…”
我认为应该有一个简单的列表,但我找不到它。谢谢您的链接。请同时使用此链接:。否则你会错过很多全局事件处理程序。我还没有考虑过验证URI属性,你知道用Javascript进行验证的好方法吗?只需检查属性的值是否以Javascript:
开头。谢谢,我想我在css中仍然缺少一些攻击向量,但这是一个好的开始。我认为它在css中出现的唯一位置是允许url(…)
值的样式。因此,请查找url(javascript:…)
。这有点复杂,但我的主要问题是如何验证外部css文件。找到一些有用的信息并检查,您可能应该使用经过彻底测试的HTML消毒剂库。