数据清理以防止代码注入
我需要清理 nextJS 中的 TIPTAP 文本编辑器吗?
我需要使用 nextJs 清理 TIPTAP 文本编辑器吗?如果是这样,什么消毒剂最适合 nextJS 和 TIPTAP 文本编辑器?
我正在追溯清理 Offer Drive 产品 (http://offerletter.io/drive.html) 的大量数据。我正在尝试标准化自由格式的“位置”字段以确定是否提交的位置...
我需要在将 HTML 字符串发送到后端之前对其进行清理,并且我正在尝试使用 Mozilla 文档中提到的 Sanitizer API。所以我在我的 React p 中创建了以下方法...
无法编辑或查看 Magento 产品 |参数 #1 ($meta) 必须是数组类型,在 /
从 Magento 1.9.2.1 迁移到 2.4.6,一切顺利,尝试在后端查看产品时出现问题(前端没有显示),我收到类型错误并且不确定...
Argument #1 ($meta) 必须是数组类型,null 在 / | 中给出Mangeto2 2.4.6
从 Magento 1.9.2.1 迁移到 2.4.6,一切顺利,尝试在后端查看产品时出现问题(前端没有显示),我收到类型错误并且不确定...
如何在没有 JavaScript 的情况下安全地将不受信任的输入分配给 CSS 自定义属性?
假设我有一个字符串键和字符串值的对象,我想将它们作为 CSS 自定义属性写入服务器生成的一些 HTML。我怎样才能安全地这样做? 安全地我的意思是......
我想使用 preg_replace() 从文件名中删除所有多媒体文件扩展名。 要删除的文件扩展名: .m4a .wav .ogg .flac .avi .flv .mov .m3u 。中 .webm .mkv .asf .mpg文件 .mpeg .mp(INT) .mpg(...
使用正则表达式从 URI 字符串中删除潜在的尾部斜杠和/或查询字符串
我有以下 URI: /控制器/方法/arg1/arg2 /控制器/方法/arg1/arg2/ <- trailing slash /controller/method/arg1/arg2?param=1¶m=2 <- trailing query string I need a re...
我们如何使用装饰器清理函数的每个参数输入? 在下面的示例中,我希望类方法 sani.by_signature 会清理函数的每个输入参数 ...
我正在学习,我听说过 Express Validator 和 AJV+Json Schema。 两者都用于后端的清理和验证吗? 其他 NPM 模块呢? 最后:为了实现
我有以下字符串: html = ' 我有以下字符串: html = '<div id="cover" style="display: block; height: 682px"><div class="cover-desktop hidden-xs" style="background-image: linear-gradient(rgba(0, 0, 0, 0.45), rgba(0, 0, 0, 0.45)), url(\'/site_media/covers/cover.jpg\')"></div></div>' 这些是我的选择: ALLOWED_TAGS = bleach.sanitizer.ALLOWED_TAGS + [ 'p', 'div', 'table', 'br', 'style' ] ALLOWED_STYLES = ['display', 'height', 'background-image'] ALLOWED_ATTRIBUTES = { '*': ['id', 'class', 'style'] } 但是当运行bleach.clean时,background-image风格被剥离: cleaned_html = bleach.clean(html, tags=ALLOWED_TAGS, styles=ALLOWED_STYLES, attributes=ALLOWED_ATTRIBUTES) 输出: u'<div id="cover" style="display: block; height: 682px;"><div class="cover-desktop hidden-xs" style=""></div></div>' 为什么?我该如何解决? 事实上,我怎么能允许任何风格呢? '*' 不成功。 编辑:原来是因为背景图url()。如果规则包含url,它就会被删除。这是他们在BleachSanitizerFilter.sanitize_css中的代码: # Drop any url values before we do anything else style = re.compile(r"url\s*\(\s*[^\s)]+?\s*\)\s*").sub(" ", style) 那我怎么允许background-image财产呢? 我正在使用漂白剂 6.0,我正在添加这样的 css 样式 import bleach from bleach.css_sanitizer import CSSSanitizer ALLOWED_TAGS = ['p', 'strong', 'em', 'ul', 'ol', 'li', "a", "abbr", "acronym", "b", "blockquote", "code", "i",'span'] ALLOWED_ATTRIBUTES = bleach.sanitizer.ALLOWED_ATTRIBUTES ALLOWED_ATTRIBUTES['span'] = ['style'] ALLOWED_STYLES = [ 'color', 'font-family', 'font-size', 'font-style', 'font-weight', 'text-align', 'text-decoration', 'text-indent', 'background-color', 'background-image', 'background-repeat', 'background-size', 'border', 'border-bottom', 'border-left', 'border-radius', 'border-right', 'border-top', 'margin', 'margin-bottom', 'margin-left', 'margin-right', 'margin-top', 'padding', 'padding-bottom', 'padding-left', 'padding-right', 'padding-top', 'line-height', 'letter-spacing', 'word-spacing'] css_santizer = CSSSanitizer(allowed_css_properties=ALLOWED_STYLES) cleaned_description = bleach.clean(description,tags=ALLOWED_TAGS,attributes=ALLOWED_ATTRIBUTES,css_sanitizer=css_santizer) 我希望这对您或任何遇到此问题的人有用,您可以查看文档了解更多详细信息
我正在使用tinyMCE捕捉一些内容,然后将内容发布回php脚本以存储在数据库中。我正在使用htmlawed来删除任何讨厌的东西。$_POST 变量的内容是 ...
什么时候需要 sanitizerBypassSecurityUrl?
我有一个ionic的应用程序,我在base64预览图像使用[src]="sanitizer.bypassSecurityTrustUrl(myBase64Photo),是必要的预览,因为我有一个警告,但我不知道如果它是......
前端。我应该对通过Amazon Lambda发送的Email Form进行消毒吗?[已关闭]
我是一个初级前端开发人员。我正在为一个家庭成员的个人业务制作一个简单的网站,其中一部分有一个表单,让用户提交他们的联系信息(只有几个输入和一个 ...
我正在尝试使用\ n在我的数据库中存储文本,以便在管理员需要时可以有新行。我得到的问题是,laravel似乎自动清除了...
在我的Python / Flask应用程序中,我想安全地接受用户输入,然后将其呈现在另一页上。与本网站上的操作类似(请参阅-https://meta.stackexchange.com / ...
我正在使用Angular2 Beta开发Web应用程序。我的表单包括简单的“文本”字段和“文本”区域,它们接受来自用户的输入,并且数据显示在应用程序中。这些...
[PDO安全方法可从sql注入中获取安全代码,但使用kali仍可导致注入[duplicate]
我已经用google搜索了用户发布的数据并进行了清理,发现了很多示例和函数,但是我还没有找到任何可以帮助我解决困惑的解决方案。我的问题是...
我想允许用户在我的论坛上为他们的个人资料使用自己的样式表,但是我担心可能存在安全漏洞。有没有人有清理CSS的技巧?基本过程:...