Является ли HTML::StripScripts по-прежнему безопасным для удаления современных эксплойтов?
https://stackoverflow.com/questions/828400
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мне нужен способ в Perl удалить непослушные вещи, такие как XSS, междометие изображений и the works.
Я нашел HTML::StripScripts (Текстовые скрипты) но он не обновлялся почти два года, и я не в курсе всех новых эксплойтов.
Безопасно ли это?
Какие другие языки разметки (в Perl) вы бы использовали?
Решение 2
HTML :: StripScripts - это белый список, который может использовать синтаксический анализатор на основе дерева и должен быть таким же безопасным, как и белый список.
Другие советы
XSS - обширная тема, и эксплойты появляются через день.
Простое удаление скриптов не сделает ваш код / сайт безопасным.
Лучше не пытаться удалять (заносить в черный список) определенные вещи.Безопаснее вносить в белый список html / специальные символы, которые вы разрешите использовать на своем сайте.т.е. <b>, <i>
Дефанг кажется, это последняя / лучшая библиотека anti XSS для perl на cpan
Черный список против Белого списка
И я предлагаю поиграть с CAL9000 чтобы получить представление о том, насколько широко распространен / сложен XSS
