社群 學習 工具庫 休閒
搜尋
繁体中文
javascript - 怎样消除 Markdown 的 XSS 漏洞?
黄舟
黄舟 2017-04-10 12:42:21
0
3
836

<script> 标签如果没包括在代码当中就会刷新成页面, CNode 用了 Github 的 Showdown.js 就出了这样的问题, 有什么办法可以去除漏洞?

黄舟
黄舟

人生最曼妙的风景,竟是内心的淡定与从容!

全部回覆(3)
Peter_Zhu
Peter_Zhu2017-04-10 12:44:21 3樓

后来 CNode 的解决方案是写了新的模块专门进行白名单处理: https://github.com/leizongmin/js-xss

點贊 +0
新增回覆
左手右手慢动作
左手右手慢动作2017-04-10 12:44:21 2樓

在文本交给Markdown之前,处理下:

  • 去掉<script>
  • 移除onclick,onerror一类的handler
  • 按照html标签的黑名单或者白名单过滤下(控制哪些标签可以保留)
  • 过滤html标签的属性

自己实现还挺麻烦,但做这类事情的库很多:

  • http://code.google.com/p/google-caja/
  • http://htmlpurifier.org/
點贊 +0
新增回覆
Ty80
Ty802017-04-10 12:44:21 1樓

<script>alert('123')</script> 

<script>alert('123')</script>

點贊 +0
新增回覆
熱門專題
更多>
熱門文章
熱門教學
更多>
相關教學
熱門推薦
最新課程
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板