html – 为什么块被认为是不安全的标记?
发布时间:2020-12-14 22:46:03 所属栏目:资源 来源:网络整理
导读:我最近插入了PageDown来消除来自textarea的一些HTML输入,我注意到它修剪了“样式”元素. 我只是想知道为什么这些被认为是不安全的? 最佳答案 IE有一个特殊的CSS功能,即allows JavaScript to be embedded within CSS.仅此一点就足以让他们禁止 标签. behavio
|
我最近插入了PageDown来消除来自textarea的一些HTML输入,我注意到它修剪了“样式”元素. 我只是想知道为什么这些被认为是不安全的? 最佳答案
IE有一个特殊的CSS功能,即allows JavaScript to be embedded within CSS.仅此一点就足以让他们禁止< style>标签.
behavior:表达式也可以输入到style属性中,因此您应该确保从whitelist或白名单特定样式中删除样式属性.您不应该尝试将样式列入黑名单,因为脚本可以通过几种方式进入样式,并且有plans to add more in the future. 此外,正如其他人提到的,您可以使用CSS完全更改页面的外观.如果没有允许其他标记(例如< form>标记),我无法想到任何可能有害的方法,但是如果给予足够的创造力,我确信恶意的人可以提出一些想法. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |