HTML :: StripScripts是否仍然可以安全地删除现代漏洞?

StackOverflow https://stackoverflow.com/questions/828400

  •  06-07-2019
  •  | 
  •  

我需要在Perl中删除一些顽皮的东西,例如XSS,图像插入和工作。

我找到了 HTML :: StripScripts 但它没有近距离更新两年了,我还没有了解所有新的漏洞。

安全吗?

你会使用哪些其他标记语言(在Perl中)?

有帮助吗?

解决方案 2

HTML :: StripScripts是一个白名单,可以使用基于树的解析器,并且应该像白名单一样安全。

其他提示

XSS是一个广泛的话题,每隔一天就会出现一次漏洞。

删除脚本不会使您的代码/网站安全。

最好不要尝试剥离(黑名单)某些东西。您在网站上允许的白名单html /特殊字符更安全。即<b>, <i>

Defang 似乎是cpan上perl的最新/最强的反XSS库

黑名单与白名单

OWASP XSS备忘单

我建议您使用 CAL9000 来了解广泛的广告/棘手的XSS是

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top