내 블로그에서는 사용자가 <a href="$">link text</a>
입력 한 내용이 "href"속성에만 유지되도록 링크를 제출할 수 있도록 했습니다. "닫으려고해도"또는> html_entity_decode () 함수를 사용하고 키워드를 필터링했습니다.javascript:
내 질문은 다음과 같습니다.
javascript
습니까?data:
가 동일한 위협을 가할 수 javascript:
있습니까?제 주요 질문은 4 번입니다. 나는 처음 3 개의 질문에 대해 예 / 아니오에 동의합니다.
장기적으로는 충분 하지 않을 가능성이 높습니다 . HTML5 보안 치트 시트를 살펴보면 현재 XSS 벡터의 대부분이 매우 정교 javascript
하고 data
빈번한 표적임을 알 수 있습니다.
따라서 알려진 잘못된 값 차단 에만 의존 할 수 없습니다 ( "다음으로 시작하지 않는 경우 ..."). 대신 알려진 좋은 값만 허용 해야합니다 ( "다음으로 만 시작합니까 ...").
다소 이상한 이름 지정 체계를 제외하고 섹션 3.2에 정의 된 대부분의 패턴에 상당히 도움이되는 RFC 3986 에 구문이 정의 된 URL을 다루기 때문에 그렇게 어렵지 않습니다 . 표준 URL 구문 분석 클래스 중 하나를 사용하고 (Python에 일부를 권장 할 수 있음) 필요에 따라 각 토큰의 유효성을 검사 할 수 있습니다.
기억이는 #
은 RFC에서 "조각"라고합니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다