HTML净化器-如何知道是否找到了XSS注入?
HTML净化器-如何知道是否找到了XSS注入?
提问于 2015-08-06 13:48:55
我使用HTML净化器从用户输入中删除所有恶意代码。当HTML净化器检测到(并删除) XSS代码时,我想发送一封警告邮件。
purify()方法返回纯化的HTML。我无法将输入的HTML与纯化的HTML进行比较,以检测更改,因为HTML净化器通过转换HTML来确保符合标准的输出。
有可能吗?
谢谢你的帮忙!
回答 2
Stack Overflow用户
回答已采纳
发布于 2015-08-06 17:22:46
不,HTML净化器不支持这个用例。
Stack Overflow用户
发布于 2022-06-22 13:54:37
有一个配置设置可能有助于跟踪净化器所做的更改:
http://htmlpurifier.org/live/configdoc/plain.html#Core.CollectErrors
上面写着:
是否收集筛选文档时发现的错误。这是一种向用户提供反馈的有用方法。
但同时(这也是棘手的部分):
警告:目前这个特性很不稳定,而且是实验性的,还有很多可能的错误消息还没有实现。它不会造成任何问题,但也可能对您的用户没有帮助。
因此,我不确定这是否足以知道净化器遇到了哪些错误(例如XSS注入)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/31857566
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号