您好,匿名用户
随意问技术百科期待您的加入

怎样消除 Markdown 的 XSS 漏洞?

0 投票

<script> 标签如果没包括在代码当中就会刷新成页面, CNode 用了 Github 的 Showdown.js 就出了这样的问题, 有什么办法可以去除漏洞?

用户头像 提问 2012年 12月1日 @ 卫宫士郎 上等兵 (173 威望)
分享到:

1个回答

0 投票

在文本交给Markdown之前,处理下:

  • 去掉<script>
  • 移除onclick,onerror一类的handler
  • 按照html标签的黑名单或者白名单过滤下(控制哪些标签可以保留)
  • 过滤html标签的属性

自己实现还挺麻烦,但做这类事情的库很多:

用户头像 回复 2012年 12月1日 @ Renekton 上等兵 (260 威望)
提一个问题:

相关问题

0 投票
1 回复 52 阅读
0 投票
1 回复 40 阅读
用户头像 提问 2013年 12月17日 @ Viktor 上等兵 (290 威望)
0 投票
1 回复 30 阅读
用户头像 提问 2012年 12月1日 @ Caitlyn 上等兵 (452 威望)
0 投票
1 回复 43 阅读
用户头像 提问 2012年 12月1日 @ Skarner 上等兵 (193 威望)
0 投票
0 回复 25 阅读
用户头像 提问 2013年 10月2日 @ Swain 上等兵 (232 威望)

欢迎来到随意问技术百科, 这是一个面向专业开发者的IT问答网站,提供途径助开发者查找IT技术方案,解决程序bug和网站运维难题等。
温馨提示:本网站禁止用户发布与IT技术无关的、粗浅的、毫无意义的或者违法国家法规的等不合理内容,谢谢支持。

欢迎访问随意问技术百科,为了给您提供更好的服务,请及时反馈您的意见。
...