Google caja - 악성 코드 차단

Question

내 웹 사이트에서 안전한 html이 필요합니다.

비록 내가 caja 가이드를 읽었고, 나는 conecpt를 이해하는지 확신이 없다.

https://developers.google.com/caja/docs/gettingstarted/

는 나는 이렇게되면 생각 :

• 사용자가 내 DB 내가 렌더링 할
• 에 악성 컨텐츠를 제출합니다. Caja는 악성 코드를 인식하고 차단합니다.

하지만 어떻게 카자를 렌더링합니까? 그들은 자신의 페이지에서 이것을 설명하지 않고 코드를 대체하는 방법 만 보여줍니다.

<script type="text/javascript"> 
     document.getElementById('dynamicContent').innerHTML = 'Dynamic hello world'; 
</script> 

의 우리의 문서 나 스크립트 태그를 차단 카하을 말할 것 어떻게

<body> 
    <div class="input"> 
     <h3>User Input </h3> 
     <script> alert("I am really bad!"); </script> 
    </div> 

    <div class="input"> 
     <h3>User Input </h3> 
     <p> I am safe HTML!</p> 
    </div> 
</body> 

과 같을 것이다 가정 해 봅시다?

Answer 1

정말 간단합니다 .

사용하려면

<script src="http://caja.appspot.com/html-css-sanitizer-minified.js"></script> 
<script> 
    var sanitized = html_sanitize(untrustedCode, 
    /* optional */ function(url) { return url /* rewrite urls if needed */ }, 
    /* optional */ function(id) { return id; /* rewrite ids, names and classes if needed */ }) 
</script> 

당신이, 소독 CSS 스타일을 허용하는 대신 http://caja.appspot.com/html-sanitizer-minified.js을 사용하지 않으려면.

Answer 2

내 의견으로는 AntiSamy가 훨씬 더 나은 방법입니다.

https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project#What_is_it.3F

그리고 방금 소독 HTML (예. 더 스크립트 실행의 모든), 당신은 카하의 모든 필요 없어, 그냥 HTML-소독제를 원한다면 그것은