大佬教程收集整理的这篇文章主要介绍了如何将 HTML 片段形式的被动用户生成内容安全地插入到 DOM 中?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个 HTML 编辑器(例如 TinymCE),它允许用户创建不受信任的 HTML 片段以插入到页面中。
是否有一种安全的方法可以包含 HTML 片段并将其插入到适用于现代浏览器的页面中?
我知道我可以做这样的事情:
// let's assume that I kNow how to encode the user input so
// that the untrusted content is safely in a single String
// at the start:
var untrusted_user_input = "abc<script>console.error(document.domain)</script><img src=\"JavaScript:console.error('img JavaScript')\" onerror=\"console.error('img onerror')\">xyz";
// parse the HTML outsIDe real DOM to avoid *execuTing* anything:
var doc = document.implementation.createHTMLdocument("");
var body = doc.body;
var wrapper_div = doc.createElement("div");
body.append(wrapper_div);
wrapper_div.INNERHTML = untrusted_user_input;
我现在将不受信任的用户输入的 DOM 表示作为 wrapper_div 的一个或多个子代。 但是,我仍然需要自己根据白名单过滤它,然后才能安全地执行例如以下:
document.body.append(wrapper_div);
// or only child nodes of wrapper_div to be exact
有没有什么方法可以在被动模式下将解析的元素插入到真正的 DOM 中,在这种模式下不会执行任何脚本内容?现代浏览器已经支持 Content-Security-Policy所以应该有足够的智能让浏览器可以自动执行此操作,但是否有一些我不知道的 API?
请注意,我正在尝试允许例如表格和其他复杂的 HTML 结构,所以我对仅从用户内容中获取文本不感兴趣。
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)
以上是大佬教程为你收集整理的如何将 HTML 片段形式的被动用户生成内容安全地插入到 DOM 中?全部内容,希望文章能够帮你解决如何将 HTML 片段形式的被动用户生成内容安全地插入到 DOM 中?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。