1
binux 2014-11-14 20:49:30 +08:00
这样防xss思路就是错的
|
2
virusdefender OP @binux 为什么啊?
|
3
binux 2014-11-14 21:09:55 +08:00
|
4
feilaoda 2014-11-14 21:12:33 +08:00
lxml的clean html即可
|
5
gamexg 2014-11-14 21:13:25 +08:00
没做过,难道像 ChanneW 说的,全部无效,然后手工重新生成有效的html代码?
|
6
Bakemono 2014-11-14 21:15:44 +08:00 via iPad
今天没带macbook回宿舍…明天我帮lz bypass一下xss filter 吧:)
|
7
nooper 2014-11-14 21:22:30 +08:00
应当尽量避免使用del,你的代码可以更简化。还是有点复杂。
|
8
virusdefender OP |
9
virusdefender OP @Bakemono 好啊 好啊 这几个问题也是我在fuzz的时候发现的啊
|
10
ryd994 2014-11-15 00:27:21 +08:00 via Android
典型的被语言惯坏了,你到C++里绝对会被打死~
正确做法难道不是一边检查一边加元素,检查不通过就不加么 |
11
ryd994 2014-11-15 00:30:47 +08:00 via Android
检查,坚持成功就加到新list里
|
12
msg7086 2014-11-15 07:09:42 +08:00
从Rubyer的角度来看这个似乎应该用#select或者#delete加个block解决。
|