blocks|key|239104|text|您可以使用CSP+()，尽管配置起来有点麻烦。而且，它也不是100%25安全的，因为它取决于客户机(浏览器)|type|unstyled|depth|inlineStyleRanges|entityRanges|data|239105|您可以从外部加载所有脚本，并阻止所有内联脚本。这可以用CSP+1-+浏览器支持对于CSP+1来说是很好的。来完成。
政策应该是这样的：
内容-安全性-策略:脚本-src+'self'；|unordered-list-item|offset|length|239106|和/或您可以白名单您的内联脚本块，所有其他将被阻止。为此，需要CSP+2，浏览器对该浏览器的支持较低。浏览器支持更有限，例如没有IE
该政策的实例：
现在为基础
内容-安全性-策略:脚本-src+'nonce-123‘
允许执行<script+nonce="123">safemethod()</script>，阻止其他
散列
内容-安全性-策略:脚本-src+'sha256-07123e1f482356c415f684407a3b8723e10b2cbbc0b8fcd6282c49d37c9c1abc‘
允许执行具有07123e1f482356c415f684407a3b8723e10b2cbbc0b8fcd6282c49d37c9c1abc的sha+256散列(内容的散列)的脚本，阻止其他脚本。|style|CODE|239107|entityMap|0|LINK|mutability|MUTABLE|url|http://caniuse.com/#feat=contentsecuritypolicy|1|http://caniuse.com/#feat=contentsecuritypolicy2^0|0|Y|J|0|0|36|15|79|1S|1F|F|1|0^^$0|@$1|2|3|4|5|6|7|U|8|@]|9|@]|A|$]]|$1|B|3|C|5|D|7|V|8|@]|9|@$E|W|F|X|1|Y]]|A|$]]|$1|G|3|H|5|D|7|Z|8|@$E|10|F|11|I|J]|$E|12|F|13|I|J]]|9|@$E|14|F|15|1|16]]|A|$]]|$1|K|3|-4|5|6|7|17|8|@]|9|@]|A|$]]]|L|$M|$5|N|O|P|A|$Q|R]]|S|$5|N|O|P|A|$Q|T]]]]

<p>You could use CSP (Content Security Policy), although it could be a bit cumbersome to configure. Also it's not 100% safe, as it depends on the client (the browser)</p>

<ul>
<li><p>you could load all you scripts externally and block all inlined scripts. This can be done with CSP 1 - the <a href="http://caniuse.com/#feat=contentsecuritypolicy" rel="nofollow noreferrer">browser support  is pretty good for CSP 1.</a></p>

<p>Policy would looks something like this:</p>

<pre><code>Content-Security-Policy: script-src 'self';
</code></pre></li>
<li><p>and/or you could whitelist your inline scripts blocks and all others will be blocked. You need CSP 2 for that, the browser support is lower for that one. <a href="http://caniuse.com/#feat=contentsecuritypolicy2" rel="nofollow noreferrer">The browser support is more limited, e.g. no IE</a></p>

<p>examples of the policy:</p>

<h3>Nonce based</h3>

<pre><code>Content-Security-Policy: script-src 'nonce-123' 
</code></pre>

<p>allow executing <code>&lt;script nonce="123"&gt;safemethod()&lt;/script&gt;</code>, block others</p>

<h3>Hash bashed</h3>

<pre><code>Content-Security-Policy: script-src 'sha256-07123e1f482356c415f684407a3b8723e10b2cbbc0b8fcd6282c49d37c9c1abc' 
</code></pre>

<p>allow executing the script that has the sha 256 hash (hash of the content) of <code>07123e1f482356c415f684407a3b8723e10b2cbbc0b8fcd6282c49d37c9c1abc</code>, block others.</p></li>
</ul>


blocks|key|1874394|text|是否需要禁用标记中的所有javascript？如果没有，我是否可以使用某种正则表达式过滤掉所有的xss攻击？|type|blockquote|depth|inlineStyleRanges|entityRanges|data|1874395|不和不。|unstyled|1874396|不允许用户使用不受限制的HTML.HTML.HTML，即使您的过滤器是完美的(但它不会是完美的)，当添加新的特性时，您将不可避免地被捕获，而您的过滤器并没有考虑到这些特性。此外，用户可以做许多不涉及Javascript的恶意行为，比如用指向恶意站点的链接模糊网页的部分内容。|offset|length|style|BOLD|1874397|如果您承诺允许用户以HTML的形式输入描述，请根据HTML解析器(如tidy中的HTML::Parser或Perl中的HTML::Parser)将其传递给过滤器，并且只允许您特别确认是安全的标记和属性。|CODE|1874398|entityMap|0|LINK|mutability|MUTABLE|url|http://php.net/manual/en/class.tidy.php|1|https://metacpan.org/pod/HTML::Parser|2^0|0|0|0|1I|0|Y|4|14|C|1N|C|Y|4|0|14|C|1|1N|C|2|0^^$0|@$1|2|3|4|5|6|7|Y|8|@]|9|@]|A|$]]|$1|B|3|C|5|D|7|Z|8|@]|9|@]|A|$]]|$1|E|3|F|5|D|7|10|8|@$G|11|H|12|I|J]]|9|@]|A|$]]|$1|K|3|L|5|D|7|13|8|@$G|14|H|15|I|M]|$G|16|H|17|I|M]|$G|18|H|19|I|M]]|9|@$G|1A|H|1B|1|1C]|$G|1D|H|1E|1|1F]|$G|1G|H|1H|1|1I]]|A|$]]|$1|N|3|-4|5|D|7|1J|8|@]|9|@]|A|$]]]|O|$P|$5|Q|R|S|A|$T|U]]|V|$5|Q|R|S|A|$T|W]]|X|$5|Q|R|S|A|$T|W]]]]

<blockquote>
  <p>Is there anyway to disable all javascript within a tag? If not, is there some sort of regular expression I can use to filter out all xss attacks?</p>
</blockquote>

<p>No and no.</p>

<p><strong>Don't allow users to use unrestricted HTML.</strong> Even if your filter were perfect (which it won't be), you will inevitably be caught out when new HTML features are added which your filter did not account for. Moreover, there are numerous malicious things which users could do which don't involve Javascript, such as obscuring parts of your web page with links to malicious sites.</p>

<p>If you are committed to allowing users to input a description as HTML, pass it through a filter based on an HTML parser (such as <a href="http://php.net/manual/en/class.tidy.php" rel="nofollow noreferrer"><code>tidy</code></a> in PHP, or <a href="https://metacpan.org/pod/HTML::Parser" rel="nofollow noreferrer"><code>HTML::Parser</code></a> in Perl), and only allow tags and attributes through which you have specifically confirmed to be safe.</p>


<p>I have a website where users can set a description using html. I want them to be able to do everything with html except use js. Is there anyway to disable all javascript within a tag? Keep in mind I mean all javascript including things like <code>onclick</code>. If not, is there some sort of regular expression I can use to filter out all xss attacks?</p>


Disable js within an html tag

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

我有一个网站，用户可以设置一个描述使用html。我希望他们能够用html做任何事情，除了使用js。是否需要禁用标记中的所有javascript？记住，我指的是所有的javascript，包括onclick之类的东西。如果没有，我是否可以使用某种正则表达式过滤掉所有的xss攻击？

问禁用html标记中的js。
EN

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问禁用html标记中的js。EN

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问禁用html标记中的js。
EN