Ben javascript fveyam textarea enjeksiyon ve alanları ile bir sveyaunu çözmek için gereken
script type='text/javascript'
window.location='http:site.com';
/ Script
veya
a href='javascript:...'
veya
fveyam action...
veya
input name...
but i preserve some html tags fveya example a, b, ul... is this possible?
HTML Purifier böyle XSS saldırılarına karşı kendinizi korumak için izin istiyorum sadece ne HTML türleri belirtmek için kullanmayı deneyin.
Eğer XSS konusunda endişeli iseniz, size hiçbir JavaScript içinde var emin olmak için sunucu tarafında giriş işlemek gerekir. Umarım bu Perl örnek yardımcı olacaktır (regex için özür dilemek, o benim güçlü takım değil)
use strict;
my $str = <<HTML;
<body>
<div>
sfdasfasdfs
<script type="text/javascript">
window.location.href = "http://badsite.com";
</script>
sadfssdfssdf
</div>
</body>
HTML
$str =~ s/<script.*?>[\s\w\d\W]*<\/script>//g;
print "$str\n";