我需要在我的网站上安全的html。
我读了《卡亚指南》,不确定我是否理解该指南。
https://developers.google.com/caja/docs/gettingstarted/
我想是这样的:
用户向我的数据库提交恶意内容
我想渲染它。Caja识别恶意代码并阻止它。
但是我如何通过caja渲染它呢?他们不会在他们的页面上解释这些,他们只是展示如何替换代码。
<script type="text/javascript">
document.getElementById('dynamicContent').innerHTML = 'Dynamic hello world';
</script>
假设我们的文件是这样的
<body>
<div class="input">
<h3>User Input </h3>
<script> alert("I am really bad!"); </script>
</div>
<div class="input">
<h3>User Input </h3>
<p> I am safe HTML!</p>
</div>
</body>
我该如何告诉caja阻止脚本标记?
最佳答案
如果你只想消毒html(即根本不执行脚本),你不需要所有的Caja,只需要html消毒器。
使用:
<script src="http://caja.appspot.com/html-css-sanitizer-minified.js"></script>
<script>
var sanitized = html_sanitize(untrustedCode,
/* optional */ function(url) { return url /* rewrite urls if needed */ },
/* optional */ function(id) { return id; /* rewrite ids, names and classes if needed */ })
</script>
如果不想允许使用经过清理的css样式,请改用http://caja.appspot.com/html-sanitizer-minified.js。