html – 为什么块被认为是不安全的标记?

我最近插入了PageDown来消除来自textarea的一些HTML输入,我注意到它修剪了“样式”元素.

我只是想知道为什么这些被认为是不安全的?

最佳答案
IE有一个特殊的CSS功能,即allows JavaScript to be embedded within CSS.仅此一点就足以让他们禁止< style>标签.

behavior:表达式也可以输入到style属性中,因此您应该确保从whitelist或白名单特定样式中删除样式属性.您不应该尝试将样式列入黑名单,因为脚本可以通过几种方式进入样式,并且有plans to add more in the future.

此外,正如其他人提到的,您可以使用CSS完全更改页面的外观.如果没有允许其他标记(例如< form>标记),我无法想到任何可能有害的方法,但是如果给予足够的创造力,我确信恶意的人可以提出一些想法.

相关文章

操作步骤 1、进入elasticsearch的plugin,进入ik。进入config。 2、在config下面建立以.dic为后缀的字典...
lengend data数据中若存在&#39;&#39;,则表示换行,用&#39;&#39;切割。
代码实现 option = { backgroundColor: &amp;#39;#080b30&amp;#39;, tooltip: { trigger: &...
问题原因 原因在于直接在js中取的变量并复制给var变量。 于是就变成这样。 解决办法 var data = &#...
前言 最近做了一个调查问卷导出的功能,需求是将维护的题目,答案,导出成word,参考了几种方案之后,选...
对于很多人来说,用字符编码都是熟能生巧,而不清楚为什么是那样的字符编码,所以我在这列了一个表,翻...