100 ポイント コンテンツ領域の XSS および HTML 侵入ソリューション。

コンテンツをフロントデスクに送信します。
一般に、Baidu UE または種類のエディターを使用します。
これらのエディターは、一部の < Escape を自動的にエスケープし、データベースに直接保存します。
違法ユーザーは、スクリプト + HTML コードを直接投稿できます。 JS を使用すると、XSS 攻撃が発生します。最初に配置してエスケープします。
2. iframe フレームセットのヘッドをフィルタリングします。
これだけでも十分ではありませんか? ユーザーが DOM ノードを使用して中断した場合はどうなりますか?ページ?

このコードを送信しましたが、これは正常です。スクリプト JS には、コピー、参照などの操作があります。このように、値はイベントによって取得された値は予期しないものになります

3. また、clss="" id="" name="" をフィルターします
JS にカスタム属性がある場合は、正規表現を使用してすべての属性を削除する必要があります

4 ....


とても混乱しているので、標準化された解決策を見つけたいです




したがって、次のようなシステムが必要です。リッチ テキストを編集するユーザーはすべて ubb または bccode エンコード形式を使用します
一方、オンライン HTML エディターは管理グループに限定されます