HTML :: StripScriptsは、現代のエクスプロイトを削除するためにまだ安全ですか?

StackOverflow https://stackoverflow.com/questions/828400

  •  06-07-2019
  •  | 
  •  

質問

PerlでXSS、イメージ挿入、作品などのいたずらなものを取り除く方法が必要です。

HTML :: StripScripts を見つけましたが、近く更新されていません2年で、すべての新しいエクスプロイトが最新ではありません。

安全ですか?

(Perlで)使用する他のマークアップ言語は何ですか?

役に立ちましたか?

解決 2

HTML :: StripScriptsはホワイトリストであり、ツリーベースのパーサーを使用でき、ホワイトリストと同じくらい安全でなければなりません。

他のヒント

XSSは広大なトピックであり、悪用は1日おきに発生します。

スクリプトを削除するだけでは、コード/サイトが安全になりません。

特定のものを除去(ブラックリスト)しないでください。サイトで許可するhtml /特殊文字をホワイトリストに登録する方が安全です。つまり、<b>, <i>

Defang はcpanのperl用の最新/最高のアンチXSSライブラリ

ブラックリスト登録とホワイトリスト登録

OWASP XSSチートシート

そして、 CAL9000 を試して、どの程度普及しているかを知ることをお勧めします。 /トリッキーなXSSは

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top