数据清理以防止代码注入
比如说,我有一个具有以下结构的数组: 大批 ( [0] => 数组 ( [0] => 数据 [1] => 数据 [2] => 数据 [3] => 数组 ...
我有 <%@taglib prefix="e" uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project" %> 也只是为了测试 <%@ taglib prefix="c" uri="http://
我正在尝试从外部库扩展一个类,该类包含在开始任何操作之前在输入中使用其构造函数的方法,因为它可以有多种类型。我想创建一个...
从表单输入中清理 HTML 不起作用(symfony6.3 php 8.2)
尝试实现一个根据以下内容清理 html 输入的表单 https://symfony.com/doc/current/html_sanitizer.html#sanitizing-html-from-form-input 但我无法让它正常工作。 这是我的...
我有这个代码: const 实现 = async (req, res, next) => { const rut = req.user && req.user.nickname.toUpperCase(); const 数据 = req.body; // 错误 !!! if (!rut || !数据...
我想编写一个 JavaScript 函数来清理用户输入并删除任何不需要的和危险的字符。 它必须仅允许以下字符: 字母数字字符(不区分大小写...
我需要清理 nextJS 中的 TIPTAP 文本编辑器吗?
我需要使用 nextJs 清理 TIPTAP 文本编辑器吗?如果是这样,什么消毒剂最适合 nextJS 和 TIPTAP 文本编辑器?
我正在追溯清理 Offer Drive 产品 (http://offerletter.io/drive.html) 的大量数据。我正在尝试标准化自由格式的“位置”字段以确定是否提交的位置...
我需要在将 HTML 字符串发送到后端之前对其进行清理,并且我正在尝试使用 Mozilla 文档中提到的 Sanitizer API。所以我在我的 React p 中创建了以下方法...
无法编辑或查看 Magento 产品 |参数 #1 ($meta) 必须是数组类型,在 /
从 Magento 1.9.2.1 迁移到 2.4.6,一切顺利,尝试在后端查看产品时出现问题(前端没有显示),我收到类型错误并且不确定...
Argument #1 ($meta) 必须是数组类型,null 在 / | 中给出Mangeto2 2.4.6
从 Magento 1.9.2.1 迁移到 2.4.6,一切顺利,尝试在后端查看产品时出现问题(前端没有显示),我收到类型错误并且不确定...
如何在没有 JavaScript 的情况下安全地将不受信任的输入分配给 CSS 自定义属性?
假设我有一个字符串键和字符串值的对象,我想将它们作为 CSS 自定义属性写入服务器生成的一些 HTML。我怎样才能安全地这样做? 安全地我的意思是......
我想使用 preg_replace() 从文件名中删除所有多媒体文件扩展名。 要删除的文件扩展名: .m4a .wav .ogg .flac .avi .flv .mov .m3u 。中 .webm .mkv .asf .mpg文件 .mpeg .mp(INT) .mpg(...
使用正则表达式从 URI 字符串中删除潜在的尾部斜杠和/或查询字符串
我有以下 URI: /控制器/方法/arg1/arg2 /控制器/方法/arg1/arg2/ <- trailing slash /controller/method/arg1/arg2?param=1¶m=2 <- trailing query string I need a re...
我们如何使用装饰器清理函数的每个参数输入? 在下面的示例中,我希望类方法 sani.by_signature 会清理函数的每个输入参数 ...
我正在学习,我听说过 Express Validator 和 AJV+Json Schema。 两者都用于后端的清理和验证吗? 其他 NPM 模块呢? 最后:为了实现
我有以下字符串: html = ' 我有以下字符串: html = '<div id="cover" style="display: block; height: 682px"><div class="cover-desktop hidden-xs" style="background-image: linear-gradient(rgba(0, 0, 0, 0.45), rgba(0, 0, 0, 0.45)), url(\'/site_media/covers/cover.jpg\')"></div></div>' 这些是我的选择: ALLOWED_TAGS = bleach.sanitizer.ALLOWED_TAGS + [ 'p', 'div', 'table', 'br', 'style' ] ALLOWED_STYLES = ['display', 'height', 'background-image'] ALLOWED_ATTRIBUTES = { '*': ['id', 'class', 'style'] } 但是当运行bleach.clean时,background-image风格被剥离: cleaned_html = bleach.clean(html, tags=ALLOWED_TAGS, styles=ALLOWED_STYLES, attributes=ALLOWED_ATTRIBUTES) 输出: u'<div id="cover" style="display: block; height: 682px;"><div class="cover-desktop hidden-xs" style=""></div></div>' 为什么?我该如何解决? 事实上,我怎么能允许任何风格呢? '*' 不成功。 编辑:原来是因为背景图url()。如果规则包含url,它就会被删除。这是他们在BleachSanitizerFilter.sanitize_css中的代码: # Drop any url values before we do anything else style = re.compile(r"url\s*\(\s*[^\s)]+?\s*\)\s*").sub(" ", style) 那我怎么允许background-image财产呢? 我正在使用漂白剂 6.0,我正在添加这样的 css 样式 import bleach from bleach.css_sanitizer import CSSSanitizer ALLOWED_TAGS = ['p', 'strong', 'em', 'ul', 'ol', 'li', "a", "abbr", "acronym", "b", "blockquote", "code", "i",'span'] ALLOWED_ATTRIBUTES = bleach.sanitizer.ALLOWED_ATTRIBUTES ALLOWED_ATTRIBUTES['span'] = ['style'] ALLOWED_STYLES = [ 'color', 'font-family', 'font-size', 'font-style', 'font-weight', 'text-align', 'text-decoration', 'text-indent', 'background-color', 'background-image', 'background-repeat', 'background-size', 'border', 'border-bottom', 'border-left', 'border-radius', 'border-right', 'border-top', 'margin', 'margin-bottom', 'margin-left', 'margin-right', 'margin-top', 'padding', 'padding-bottom', 'padding-left', 'padding-right', 'padding-top', 'line-height', 'letter-spacing', 'word-spacing'] css_santizer = CSSSanitizer(allowed_css_properties=ALLOWED_STYLES) cleaned_description = bleach.clean(description,tags=ALLOWED_TAGS,attributes=ALLOWED_ATTRIBUTES,css_sanitizer=css_santizer) 我希望这对您或任何遇到此问题的人有用,您可以查看文档了解更多详细信息
我正在使用tinyMCE捕捉一些内容,然后将内容发布回php脚本以存储在数据库中。我正在使用htmlawed来删除任何讨厌的东西。$_POST 变量的内容是 ...
什么时候需要 sanitizerBypassSecurityUrl?
我有一个ionic的应用程序,我在base64预览图像使用[src]="sanitizer.bypassSecurityTrustUrl(myBase64Photo),是必要的预览,因为我有一个警告,但我不知道如果它是......
前端。我应该对通过Amazon Lambda发送的Email Form进行消毒吗?[已关闭]
我是一个初级前端开发人员。我正在为一个家庭成员的个人业务制作一个简单的网站,其中一部分有一个表单,让用户提交他们的联系信息(只有几个输入和一个 ...