Nano Hash - криптовалюты, майнинг, программирование

Как удалить все вызовы javascript и js с веб-страницы?

У меня есть веб-страница, которая полностью отображается на стороне сервера (nodejs+phantomjs), я хочу отправить эту страницу в клиентский браузер. Проблема в том, что клиентский браузер пытается повторно выполнить javascript. Следовательно, у меня есть два варианта:

  1. Отключите javascript в iframe, который загружает эту страницу в клиенте.
  2. Удалите каждый вызов/событие javascript и js со страницы

Хотя я не буду использовать исходный javascript страницы, позже мне нужно будет добавить события javascript в iframe.

Кажется, первый вариант может быть реализован с использованием аргумента «песочницы» iframe ... но это не позволит мне позже вводить другой javascript. Следовательно, мне нужен способ реализовать второй вариант, то есть удалить весь исходный javascript со страницы.

Есть ли эффективный (и надежный) способ сделать это? Я предполагаю, что использование регулярных выражений может быть решением, но надежно ли оно?

javascript iframe sandbox strip-tags
19.06.2013

  • Я думаю, вам нужно уточнить вопрос. Отправляется ли Javascript на стороне сервера и, следовательно, выполняется на клиенте (в этом случае вы делаете что-то ужасно неправильное)? Или вы пытаетесь загрузить страницу в iframe, но не разрешаете Javascript в iframe..? Почему бы и нет? Выполняется ли только загружаемый Javascript? Я не понимаю, что вы пытаетесь сделать, но удаление тегов script из HTML звучит как хакерский способ сделать это. 20.06.2013
  • удалите все теги сценария, прежде чем печатать его с помощью DOM или RegExp. 20.06.2013
  • @PherricOxide: я загружаю удаленную страницу в виртуальный браузер, страница выполняется на сервере. Затем я беру полученный DOM и загружаю его в iframe в клиенте. Я не хочу, чтобы исходный JS выполнялся в этом iframe, но я все же хочу прикрепить свои события к DOM страницы. Например. страница, которую я загружаю в виртуальный браузер, открывает диалог jqueryui onload, затем я отправляю полученный DOM клиенту, который пытается снова открыть тот же диалог. Это ответ на этот вопрос . 20.06.2013

Ответы:


1

Я нашел решение, которое, кажется, работает. Я не уверен, что это лучшее решение, но оно, безусловно, лучше, чем ручное удаление любой ссылки JS из документа... для моих целей.

Вот в чем хитрость: угнать js! Я просто добавляю в <head> следующее:

<script>
    Function.prototype.call = function(){}; 
    Function.prototype.apply = function(){};
    Function.prototype.bind = function(){};
</script>"

и JavaScript отключен.

20.06.2013
  • Это какие-то странные вещи! Не ожидал, что вызов нативной функции будет использовать функции прототипа. Javascript такой волшебный язык :) 09.11.2013
  • Однако это не предотвращает такие вещи, как document.body.innerHTML = ''. XSS действительно не нужно больше, чем это. 09.11.2013
  • @Lodewijk действительно, я закончил тем, что удалил все события html on* и все <script> .. все еще дерьмовое решение, но это что-то. 10.11.2013
  • !!!! ЭТОГО НЕ ДОСТАТОЧНО !!!! owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#BODY_image перечисляет массу XSS ухищрения. Javascript: это головная боль мэра, и я просто не могу поверить, что он превратился в HTML. Никогда не знал об этом раньше. Ругательные слова! 10.11.2013
  • @fusio, как удалить все события on на веб-сайте? 08.04.2021
    • Новые материалы
    Кластеризация: более глубокий взгляд
    Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
    Как написать эффективное резюме
    Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
    Частный метод Python: улучшение инкапсуляции и безопасности
    Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
    Как я автоматизирую тестирование с помощью Jest
    Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
    Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
    Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
    Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
    В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
    Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
    В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..