如何在允许HTML输入的同时防止XSS(跨站点脚本)

我有一个网站,允许通过TinyMCE丰富的编辑器控件输入HTML .它的目的是允许用户使用HTML格式化文本.

然后将该用户输入的内容输出给系统的其他用户.

但是,这意味着有人可以在HTML中插入JavaScript,以便对系统的其他用户执行XSS攻击.

从HTML字符串中过滤掉JavaScript代码的最佳方法是什么？

如果我对

Chloemw

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

• actionscrip
• bash
• c#
• c++
• c语言
• erlang
• flutter
• go
• golang
• java
• javascript
• lua
• node.js
• perl
• php
• python
• scala
• typescript

RankList | 热门文章

• 1在嵌套的MongoDB调用中,如何确保原子性？
• 2Intellij - 是否存在for循环类型的自动完成？
• 3反向for循环在Postgresql中不起作用
• 4Xamarin表单ListView CachingStrategy
• 5indexOf显然不应该返回-1
• 6OSError:[Errno 107]传输端点未连接
• 7如何使toctree链接引用单独的文件,就像它引用的小节一样
• 8pyodbc无法连接到数据库
• 9最后,除了在python中加注之外,重新发现异常
• 10删除迁移和makemigrations后的django.db.utils.OperationalError
• 11片段重用
• 12评估c中if语句中的表达式
• 13Flask API突然没有收到请求
• 14无法在ubuntu中找到mongod.conf文件
• 15如何在逻辑回归中避免NaN？
• 16Mockito和TextUtils
• 17使用auto.Arima（）和xreg进行ARIMA预测
• 18Firefox,Edge和IE中的Flexbox列反转
• 19使用Python中的beautifulsoup从网站中提取数字
• 20如何在Node/V8中实现正则表达式匹配？