我需要在我的网站上安全的html。
我读了《卡亚指南》,不确定我是否理解该指南。
https://developers.google.com/caja/docs/gettingstarted/
我想是这样的:
用户向我的数据库提交恶意内容
我想渲染它。Caja识别恶意代码并阻止它。
但是我如何通过caja渲染它呢?他们不会在他们的页面上解释这些,他们只是展示如何替换代码。

<script type="text/javascript">
      document.getElementById('dynamicContent').innerHTML = 'Dynamic hello world';
</script>

假设我们的文件是这样的
<body>
    <div class="input">
        <h3>User Input </h3>
        <script> alert("I am really bad!"); </script>
    </div>

    <div class="input">
        <h3>User Input </h3>
        <p> I am safe HTML!</p>
    </div>
</body>

我该如何告诉caja阻止脚本标记?

最佳答案

如果你只想消毒html(即根本不执行脚本),你不需要所有的Caja,只需要html消毒器。
使用:

<script src="http://caja.appspot.com/html-css-sanitizer-minified.js"></script>
<script>
  var sanitized = html_sanitize(untrustedCode,
    /* optional */ function(url) { return url /* rewrite urls if needed */ },
    /* optional */ function(id) { return id; /* rewrite ids, names and classes if needed */ })
</script>

如果不想允许使用经过清理的css样式,请改用http://caja.appspot.com/html-sanitizer-minified.js

09-06 00:45