草庐IT

whitelist

全部标签

html - 为什么要使用白名单进行 HTML 清理?

我经常想知道——为什么在清理HTML输入时使用白名单而不是黑名单?有多少偷偷摸摸的HTML技巧可以打开XSS漏洞?显然脚本标签和框架是不允许的,并且白名单将在HTML元素的字段上使用,但为什么大部分都不允许? 最佳答案 如果您将某些内容从白名单中删除,那么您只是破坏了一些不够重要的内容,让您首先考虑。如果您将某些内容从黑名单中删除,那么您就打开了一个很大的安全漏洞。如果浏览器添加了新功能,那么您的黑名单就会过时。 关于html-为什么要使用白名单进行HTML清理?,我们在StackOve
htmlsection黑名xsswhitelist

html - 为什么要使用白名单进行 HTML 清理?

我经常想知道——为什么在清理HTML输入时使用白名单而不是黑名单?有多少偷偷摸摸的HTML技巧可以打开XSS漏洞?显然脚本标签和框架是不允许的,并且白名单将在HTML元素的字段上使用,但为什么大部分都不允许? 最佳答案 如果您将某些内容从白名单中删除,那么您只是破坏了一些不够重要的内容,让您首先考虑。如果您将某些内容从黑名单中删除,那么您就打开了一个很大的安全漏洞。如果浏览器添加了新功能,那么您的黑名单就会过时。 关于html-为什么要使用白名单进行HTML清理?,我们在StackOve
htmlsection黑名xsswhitelist

php - HTML净化器 : How to allow a single attribute without redefining the whole whitelist

我正在使用HTMLPurifier来清理HTML字符串(这与安全有关)。某些属性(如width或height)在调用HTMLPurifier时被删除。我不认为这是一个安全问题。如何在不重新定义白名单的情况下添加此属性?我搜索了Stackoverflow和HTMLPurifier文档,但唯一的解决方案似乎是:$config->set('HTML.Allowed','p,b,a[href],i');但这不是解决方案,因为我不想重新定义白名单(我相信默认的HTMLPurifier配置,我只是想添加一个异常(exception))。 最佳答案
净化器redefiningstylesectioncodephphtmlsecuritysanitizationhtmlpurifier

php - HTML净化器 : How to allow a single attribute without redefining the whole whitelist

我正在使用HTMLPurifier来清理HTML字符串(这与安全有关)。某些属性(如width或height)在调用HTMLPurifier时被删除。我不认为这是一个安全问题。如何在不重新定义白名单的情况下添加此属性?我搜索了Stackoverflow和HTMLPurifier文档,但唯一的解决方案似乎是:$config->set('HTML.Allowed','p,b,a[href],i');但这不是解决方案,因为我不想重新定义白名单(我相信默认的HTMLPurifier配置,我只是想添加一个异常(exception))。 最佳答案
净化器redefiningstylesectioncodephphtmlsecuritysanitizationhtmlpurifier

ios - Callkit 可以阻止除白名单联系人之外的所有调用吗?

是否可以在iOS11中创建白名单调用阻止应用程序?例如,我想阻止除联系人列表中的号码之外的所有号码。看起来该api只允许您创建要阻止的号码列表,而不是允许的号码列表。https://developer.apple.com/documentation/callkit 最佳答案 是的,您只能屏蔽特定列表,您无权反转大小写。这违反了Apple的政策。不确定是否可以通过使用私有(private)api,否则通过公共(public)/合法方式,你不能这样做。这是苹果文档中的文本:Whenaphonereceivesanincomingcall
联系人Callkitsectionhttpsioswhitelist

ios - Callkit 可以阻止除白名单联系人之外的所有调用吗?

是否可以在iOS11中创建白名单调用阻止应用程序?例如,我想阻止除联系人列表中的号码之外的所有号码。看起来该api只允许您创建要阻止的号码列表,而不是允许的号码列表。https://developer.apple.com/documentation/callkit 最佳答案 是的,您只能屏蔽特定列表,您无权反转大小写。这违反了Apple的政策。不确定是否可以通过使用私有(private)api,否则通过公共(public)/合法方式,你不能这样做。这是苹果文档中的文本:Whenaphonereceivesanincomingcall
联系人Callkitsectionhttpsioswhitelist

python - 你如何过滤一个字符串,以便只返回列表中的字符?

想象一个字符串,例如'Agh#$%#%2341--!zdrkfd',我只希望对其执行一些操作,以便只返回小写字母(例如),在这种情况下会带上“ghzdrkfd”。你如何在Python中做到这一点?显而易见的方法是创建一个字符列表,从“a”到“z”,然后遍历我的字符串中的字符并构建一个新的字符串,一个字符一个字符,只包含我列表中的那些。这看起来很原始。我想知道正则表达式是否合适。替换不需要的字符似乎有问题,我倾向于将白名单列入黑名单。.match函数似乎不合适。我查看了Python网站上的相应页面,但没有找到合适的方法。如果正则表达式不合适并且正确的方法是循环,是否有一个简单的函数可以将
python字符codestringsectionfilterwhitelist

python - 你如何过滤一个字符串,以便只返回列表中的字符?

想象一个字符串,例如'Agh#$%#%2341--!zdrkfd',我只希望对其执行一些操作,以便只返回小写字母(例如),在这种情况下会带上“ghzdrkfd”。你如何在Python中做到这一点?显而易见的方法是创建一个字符列表,从“a”到“z”,然后遍历我的字符串中的字符并构建一个新的字符串,一个字符一个字符,只包含我列表中的那些。这看起来很原始。我想知道正则表达式是否合适。替换不需要的字符似乎有问题,我倾向于将白名单列入黑名单。.match函数似乎不合适。我查看了Python网站上的相应页面,但没有找到合适的方法。如果正则表达式不合适并且正确的方法是循环,是否有一个简单的函数可以将
python字符codestringsectionfilterwhitelist

java - 如何将类型添加到 GWT 的序列化策略白名单?

GWT的序列化程序对java.io.Serializable的支持有限,但出于安全原因,它支持的类型有一个白名单。我找到的文档,例如thisFAQentry说您要序列化的任何类型“必须包含在序列化策略白名单中”,并且该列表是在编译时生成的,但没有解释编译器如何决定白名单上的内容。生成的列表包含许多属于标准库的类型,例如java.lang.String和java.util.HashMap。尝试序列化java.sql.Date时出现错误,它实现了Serializable接口(interface),但不在白名单上。如何将此类型添加到列表中? 最佳答案
javaGWTcodeDummysectionserializationwhitelist

java - 如何将类型添加到 GWT 的序列化策略白名单?

GWT的序列化程序对java.io.Serializable的支持有限,但出于安全原因,它支持的类型有一个白名单。我找到的文档,例如thisFAQentry说您要序列化的任何类型“必须包含在序列化策略白名单中”,并且该列表是在编译时生成的,但没有解释编译器如何决定白名单上的内容。生成的列表包含许多属于标准库的类型,例如java.lang.String和java.util.HashMap。尝试序列化java.sql.Date时出现错误,它实现了Serializable接口(interface),但不在白名单上。如何将此类型添加到列表中? 最佳答案
javaGWTcodeDummysectionserializationwhitelist
12345