AntiXss 라이브러리는 html 5 데이터 속성을 제거하는 것처럼 보입니다. 이유는 무엇입니까?MS 안티 xss 라이브러리 (v4)가 html 5 데이터 속성을 제거하는 이유
나는이 입력 유지하기 위해 필요:
<label class='ui-templatefield' data-field-name='P_Address3' data-field-type='special' contenteditable='false'>[P_Address3]</label>
안티 XSS 라이브러리 (버전 4.0)를 사용하는 주된 이유는 구문 분석되지 않습니다 알 수없는 스타일 속성을 보장하는 것입니다,이 가능하다조차를?
코드 :
var result = Sanitizer.GetSafeHtml(html);
편집 :이
아래의 입력이 전체 스타일 속성 초래 제거
입력 :
var input = "<p style=\"width:50px;height:10px;alert('evilman')\"/> Not sure why is is null for some wierd reason!<br><p></p>";
출력 :
var input = "<p style=\"\"/> Not sure why is is null for some wierd reason!<br><p></p>";
클라이언트 측에서 코드를 뒤죽박죽으로 처리하는 것이 좋지만 작동하려면 데이터 속성 태그가 필요합니다.
기본적으로 새니 타이 저는 안전한 것으로 알려진 항목 만 남깁니다 (화이트리스트 필터링). 안전하다는 것을 알기 위해 속성에 남겨 둘 새니 타이 저를 구성 할 수 있습니다. – Steven
허용 목록에 속성을 추가하는 방법에 대한 예가 있습니까? 또는 링크? – Haroon