HTML тазарту - HTML sanitization

HTML тазарту тексеру процесі болып табылады HTML «қауіпсіз» және қалаған белгілерді ғана сақтайтын жаңа HTML құжаты және құжаты. Сияқты шабуылдардан қорғау үшін HTML-ді сауықтыруды қолдануға болады сайтаралық сценарий (XSS) пайдаланушы ұсынған кез келген HTML кодын зарарсыздандыру арқылы.

Сияқты қаріптерді өзгертуге арналған негізгі тегтерге жиі рұқсат етіледі <b>, <i>, <u>, <em>, және <strong> сияқты жетілдірілген тегтер <script>, <object>, <embed>, және <link> тазарту процесі арқылы жойылады. Сияқты ықтимал қауіпті атрибуттар onclick атрибут жойылып, зиянды кодтың енгізілуіне жол берілмейді.

Санитарлық тазарту әдетте а-ны қолдану арқылы жүзеге асырылады ақ тізім немесе а қара тізім тәсіл. Ақ тізімнен қауіпсіз HTML элементін қалдыру онша маңызды емес; бұл тек санитарлық тазартудан кейін бұл функцияға енбейтінін білдіреді. Екінші жағынан, егер қауіпті элемент қара тізімнен шығарылса, осалдық HTML шығарылымынан тазартылмайды. Ескірген қара тізім қауіпті болуы мүмкін, егер HTML стандартына жаңа қауіпті мүмкіндіктер енгізілсе.

Әрі қарай санитарлық тазартуды тақырып белгілеріне қандай операция жасау керектігін көрсететін ережелер негізінде жүргізуге болады. Әдеттегі операцияларға тегтің мәтіндік мазмұнын ғана сақтай отырып немесе атрибуттарға мәжбүрлеу кезінде мазмұнды сақтай отырып, тегтің өзін алып тастау жатады.[1]

Іске асыру

Жылы PHP, HTML арқылы тазартуды жолақ_тегтері () жабық символдан немесе бұрыштық жақшадан кейін барлық мәтіндік мазмұнды жою қаупі бар функция.[2] HTML тазартқышы кітапханасы - PHP қосымшаларының тағы бір танымал нұсқасы.[3]

Жылы Java (және .NET ) арқылы тазартуға қол жеткізуге болады OWASP Java HTML тазартқыш жобасы.[4]

Жылы .NET, бірқатар тазартқыштар HTML талдағышы Html Agility Pack қолданады.[5][6][1]

Жылы JavaScript «тек JS» зарарсыздандырғыштары бар артқы шеті, және шолғышқа негізделген[7] HTML-ді талдау үшін браузердің жеке DOM-талдауышын қолданатын бағдарламалар (жақсы жұмыс үшін).

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ а б https://github.com/Vereyon/HtmlRuleSanitizer
  2. ^ «strip_tags». PHP.NET.
  3. ^ http://www.htmlpurifier.org
  4. ^ https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project
  5. ^ http://htmlagilitypack.codeplex.com/
  6. ^ http://eksith.wordpress.com/2011/06/14/whitelist-santize-htmlagilitypack/
  7. ^ https://github.com/jitbit/HtmlSanitizer