Ist HTML :: StripScripts noch sicher zum Entfernen von modernen Exploits?
Frage
Ich brauche einen Weg in Perl freche Sachen auszuziehen, wie XSS, Bild Zwischenruf, und die Arbeiten.
Ich fand HTML :: StripScripts aber nicht aktualisiert wurde in der Nähe von 2 Jahre, und ich bin nicht mit allen bisher den neuen Exploits auf.
Ist es sicher?
Welche anderen Markups Sprachen (in Perl) würden Sie nutzen?
Lösung 2
HTML :: StripScripts ist eine weiße Liste, und kann einen Baum basierten Parser verwenden und soll so sicher wie die Weiße Liste sein.
Andere Tipps
XSS ist ein riesiges Thema und Exploits kommen jeden zweiten Tag.
Just Entfernen Skripte werden nicht Ihren Code / site sicher machen.
Es ist besser, nicht zu strippen zu versuchen (Schwarze Liste) bestimmte Dinge. Es ist sicherer, weiße Liste html / Sonderzeichen Sie auf Ihrer Website ermöglicht. d.h <b>, <i>
Defang scheint zu sein, das neueste / größte anti XSS lib für perl auf cpan
Und ich schlage vor, spielt mit CAL9000 eine Vorstellung davon, wie weit verbreitet bekommen / tricky XSS ist