小编典典

如何防止用户生成的HTML中的Javascript注入攻击

javascript

我正在保存用户提交的HTML(在数据库中)。我必须防止Javascript注入攻击。我见过的最有害的脚本是style =“
expression(…)”中的脚本。

除此之外,相当数量的有效用户内容将包括特殊字符和XML构造,因此,我希望尽可能避免使用白名单方法。(列出每个允许的HTML元素和属性)。

Javascript攻击字符串的示例包括:

1)

“你好,我的元素有一个