jquery - XSSを防ぐためにHTMLをエスケープする方法は？

Question

私はlaravelを使用しています。ユーザーがテキストメッセージを送信すると、いくつかの悪質なコードが含まれている可能性があります。 {{}}を使用すると、ユーザーが送信した正確なテキストが表示されます。彼は

<script>alert("malicious")</script> 

を送信した場合、それはまったく同じに表示され、それは良いことだが、私はjqueryのAJAXを使用する場合、私はいくつかのHTMLタグ内にいくつかの変数にフェッチされたデータを入れて、最後にメインタグにそれらのすべてを追加しますそのような：

data = ''; 
    //loop starts here // some otger codes deleted for cleanness 
    data += "<h2>"+response.name+"</h2>"; 
    data += "<p>"+response.description+"</p>"; 
    $('#mydata').html(data); 

と今の問題は、私はhtml()を使用する場合、ユーザー悪意のあるコードが実行されると、私がいない場合、結果はHTMLとして表示されないことです。

私は$.parseHTMLで何かするべきだと思いますか？

おかげ

Answer 1

あなたは、データをエンコードするためのjQuery text()を使用する必要があります。

$('#mydata').text(data); 

EDIT：あなたはがはHTMLなどのユーザデータをレンダリングし、同じ時間に安全な方法にそれを免れることはできない

$('#mydata') 
    .html("") 
    .append($("<h2></h2>").text(response.name)) 
    .append($("<p></p>").text(response.description)) 

Answer 2

を使用することができます#mydataのコンテンツを作成します。 いくつかのgod-level regexがタグだけでなく属性だけを削除するのに役立つと思われるかもしれません。残念ながら、JSをマークアップに挿入する方法はたくさんあるので、決して確実なことはありません。

だから、あなただけのいくつかのオプションがあります：

1. はすべて

2. エスケープすべてのもの（（jQueryのテキストを使用して）、またははhtmlspecialcharsとバックエンド側のエスケープのいずれか（）

でリスクを無視します

3. 非HTMLマークアップを使用し、単純なルールで制御された方法でHTMLに変換されます。