HTML : StripScripts는 현대적인 악용 사례를 제거하는 데 여전히 안전한가요?

XSS, 이미지 삽입 및 작업과 같은 나쁜 것들을 제거하는 방법이 필요합니다.HTML : StripScripts는 현대적인 악용 사례를 제거하는 데 여전히 안전한가요?

발견 된 사람은 HTML::StripScripts이지만 2 년 가까이 업데이트되지 않았으며 모든 새로운 공격에 대해 최신 정보를 얻지 못했습니다.

안전한가요?

다른 마크 업 언어 (Perl)를 사용 하시겠습니까?

2009-05-06 Timmy

입니다. HTML :: StripScripts는 허용 목록이며 트리 기반 파서를 사용할 수 있으며 부싯돌만큼 안전해야합니다. 엘리트.

2009-11-03 17:02:41 Timmy

그러나 올바르게 구성 되었습니까? 그것은 이미지 태그에서 자바 스크립트 src attr을 필터링합니까? 누가 알아? – usr

XSS는 방대한 주제이며 악용은 격일로 나타납니다.

스크립트를 제거한다고해서 코드/사이트가 안전하지는 않습니다.

특정 항목을 제거하지 않는 것이 좋습니다 (블랙리스트에 올리는 것). 귀하의 사이트에서 허락하는 화이트리스트 HTML/특수 문자보다 더 안전합니다. 즉 <b>, <i>

Defang은 CPAN

에 펄에 대한 최신/최고의 안티 XSS lib 디렉토리 것 같다 그리고 내가 어떻게 확산/까다로운의 아이디어를 얻을 CAL9000을 가지고 노는 제안 XSS는

2009-05-06 07:35:02

HTML :: StripScripts는 허용 된 사이트 목록입니다. – Timmy

필자는 perl 코더가 아니며 이름만으로도 Strips Scripts라는 것을 알 수 있습니다. –

XSS에서 100 % 최신 정보가 아님 (100 % 확신하지 못함) 나를위한 모듈은 2007 년 이래 업데이트되지 않았다는 것입니다! – Timmy

답변