Desinfectar valores de atributos HTML específicos contra XSS

3

Queremos implementar un "modo seguro" en un analizador de Markdown llamado Parsedown . Tenemos una opción MarkupEscaped que deshabilita la entrada de HTML, pero esto no es suficiente. Para estar seguro, el analizador necesita sanear los valores de los atributos generados por el usuario.

Estos son los:

  • Atributos de href y title de las etiquetas a .
  • Atributos de src y title de las etiquetas img .

¿Cómo debemos procesar estos valores para hacerlos seguros para los atributos a los que pertenecen?

    
pregunta Emanuil Rusev 24.01.2015 - 22:18
fuente

1 respuesta

1

Asegúrese de evitar todas las variaciones de cotización (simple y doble) y restrinja la URL en los atributos href y src a un esquema seguro para XSS como http: o https: (en lugar de javascript: , data: o lo que sea).

También considere ejecutar la salida del analizador a través de Purificador de HTML para mantenerlo en un entorno de espacio aislado. Esto detectará las debilidades de su propia implementación en caso de que haya pasado por alto algo (que siempre puede suceder).

Por último, pero no menos importante, siempre se debe hacer una copia de seguridad del marcado HTML personalizado con Política de seguridad de contenido . Pero esto puede estar más allá del alcance de su proyecto.

    
respondido por el Fleche 25.01.2015 - 00:21
fuente

Lea otras preguntas en las etiquetas