Mehr Sicherheit für HTML: Details zu toStaticHTML (HTML)

Applies to Windows and Windows Phone

Wie unter Features und Unterschiede von HTML, CSS und JavaScript beschrieben, wird der HTML-Code, den Sie in eine Seite im lokalen Kontext einer App einfügen, durch die toStaticHTML-Methode gefiltert.

Diese Sicherheitseinschränkung hat Auswirkungen auf die folgenden Eigenschaften und Methoden:

In den nächsten Abschnitten wird beschrieben, welche Inhalte als sicher erachtet werden und für welche Inhalte dies nicht zutrifft.

(Informationen zu Umgehungsmöglichkeiten für HTML-Code, der diesen Filter nicht passiert, finden Sie unter Features und Unterschiede von HTML, CSS und JavaScript.)

Elemente

In der folgenden Liste ist aufgeführt, ob ein Element als sicher erachtet wird. Das System löst eine Ausnahme aus, wenn ein unsicheres Element identifiziert wird.

Element Zugelassen
Unbekanntes Tag Nein
XML-Tag Nein
<!-- --> Nein
a Ja
abbr Ja
acronym Ja
address Ja
altGlyph Ja
altGlyphDef Ja
altGlyphItem Ja
applet Nein
area Ja
article Ja
aside Ja
audio Ja
b Ja
base Nein
bdi Ja
bdo Ja
bgsound Ja
big Ja
blink Nein
blockquote Ja
body Ja
br Ja
button Ja
canvas Ja
caption Ja
center Ja
circle Ja
cite Ja
clipPath Ja
code Ja
col Ja
colGroup Ja
color-profile Ja
command* Ja
comment Nein
cursorJa
datalist Ja
dd Ja
defs Ja
del Ja
desc Ja
details Ja
dfn Ja
dir Ja
div Ja
dl Ja
dt Ja
ellipse Ja
em Ja
embed Nein
EVENT Nein
feBlend Ja
feColorMatrix Ja
feComponentTransfer Ja
feComposite Ja
feConvolveMatrix Ja
feDiffuseLighting Ja
feDisplacementMap Ja
feDistantLight Ja
feFlood Ja
feFuncA Ja
feFuncB Ja
feFuncG Ja
feFuncG Ja
feFuncR Ja
feGaussianBlur Ja
feImage Ja
feMerge Ja
feMergeNode Ja
feMorphology Ja
feOffset Ja
fePointLight Ja
feSpecularLighting Ja
feSpotlight Ja
feTile Ja
feTurbulence Ja
fieldset Ja
figcaption Ja
figure Ja
filter Ja
font-face Ja
font-face-format Ja
font-face-name Ja
font-face-src Ja
font-face-uri Ja
font Ja
footer Ja
form Ja
frame Nein
frameset Nein
g Ja
glyph Ja
glyphRef Ja
h1 Ja
h2 Ja
h3 Ja
h4 Ja
h5 Ja
h6 Ja
head Ja
header Ja
hgroup Ja
hkern Ja
hr Ja
html Ja
i Ja
iframe Nein
image Ja
img Ja
input Ja
ins Ja
isindex Nein
kbd Nein
keygen* Ja
label Ja
layer Nein
legend Ja
li Ja
line Ja
linearGradient Ja
link Nein
listing Ja
map Ja
mark Ja
marquee Ja
mask Ja
menu Ja
meta Nein
metadata Ja
meter Ja
missing-glyph Ja
mpath Ja
multicol Nein
nav Ja
nextid Ja
nobr Ja
noframes Ja
noscript Nein
object Nein
ol Ja
optGroup Ja
option Ja
output Ja
p Ja
param Nein
path Ja
pattern Ja
plaintext Ja
polygon Ja
polyline Ja
pre Ja
progress Ja
q Ja
radialGradient Ja
rb Nein
rect Ja
rp Nein
rt Ja
ruby Ja
s Ja
samp Ja
script Nein
section Ja
select Ja
small Ja
source* Ja
spacer Nein
span Ja
stop Ja
strike Ja
strong Ja
style Ja
sub Ja
summary Ja
sup Ja
svg Ja
switch Ja
symbol Ja
table

Ja

tBody Ja
td Ja
text Ja
textArea Ja
textPath Ja
tfoot Ja
th Ja
thead Ja
time Ja
title Ja
tr Ja
track* Ja
tref Ja
tspan Ja
tt Ja
u Ja
ul Ja
var Nein
video Ja
view Ja
vkern Ja
wbr Ja
XML Nein
XMP Ja

 

Das meta-Element

Ob ein meta-Element sicher ist, hängt davon ab, welche Attribute und Werte es aufweist. Einige Attribute können beispielsweise für eine Umleitung von der aktuellen Seite verwendet werden. Andere Attribute und Werte können hingegen für nützliche Zwecke verwendet werden, beispielsweise zum Angeben des Zeichensatzes für eine Seite.

Aus diesem Grund wird ein meta-Element, das vom System ermittelt wird, verarbeitet. Die Attribute und Werte werden gelesen, und es wird eine sichere Version des meta-Tags ausgegeben. Unabhängig davon, wo sie in der Eingabe-HTML angegeben werden, sind die verarbeiteten meta-Tags immer die ersten untergeordneten Elemente des head-Elements.

Attribute

In der nächsten Liste ist aufgeführt, ob ein Attribut als sicher erachtet wird. Das System löst eine Ausnahme aus, wenn ein unsicheres Attribut identifiziert wird.

Attribut Zugehörige Elemente Zugelassen

Unbekannte Attribute

Nein

Attribute, die in dem Tag nicht zulässig sind

Nein

abbr

td, th

Ja

a-charset

form

Nein

a

form, input

Nein

accessKey

Dieses Attribut ist für alle Elemente zulässig. Ja

action

form

Nein

aggregator

td, th

Nein

align

caption

Ja

align

applet, iframe, img, input, object

Ja

align

legend

Ja

align

table

Ja

align

hr

Ja

align

div, h1, h2, h3, h4, h5, h6, p

Ja

align

col, colgroup, tbody, td, tfoot, th, thead, tr

Ja

alt

applet

Ja

alt

area, img

Ja

alt

input

Ja

archive

object

Nein
aria-* aria-Attribute sind für alle Elemente zulässig. Ja

async

Ja

audio

Ja
autocomplete Ja

autofocus

Ja

autoplay

Ja

autostart

embed

Nein

axis

td, th

Nein

background

body

Ja

background

TABLE Ja

background

td, TH Ja

behavior

MARQUEE

Ja

BGCOLOR

TABLE

Ja

BGCOLOR

TR

Ja

BGCOLOR

td, th

Ja

BGCOLOR

body

Ja

BGCOLOR

marquee

Ja

bgProperties

body

Ja

border

TABLE

Ja

border

frameset, iframe,

Nein

border

img, object

Ja

borderColor

frameset, table, td, th, tr

Ja

borderColorDark

table, td, th, tr

Ja

bordercolorlight

table, td, th, tr

Ja

cellPadding

TABLE

Ja

cellSpacing

TABLE

Ja
challenge Ja

char

col, colgroup, tbody, td, tfoot, th, thead, tr

Ja

charoff

col, colgroup, tbody, td, tfoot, th, thead, tr

Ja

charset

a

Ja

charset

link, script

Nein

charset

meta

Ja

checked

input

Ja

cite

blockquote, q

Ja

cite

del, ins

Ja

class

alle Elemente außer base, head, html, meta, param, script, style, title

Ja

classid

object

Nein

clear

BR

Ja

code

applet

Nein

codebase

object

Nein

codebase

applet

Nein

codetype

object

Nein

color

basefont, font

Ja

color

hr

Ja

colfield

td, th

Nein

cols

FRAMESET

Nein

cols

TEXTAREA

Nein

colSpan

td, th

Ja

compact

DIR, dl, menu, ol, ul Ja

content

META

Nein

coords

area

Ja
contenteditable Dieses Attribut ist für alle Elemente zulässig. Ja
contextmenu Dieses Attribut ist für alle Elemente zulässig.

controls

IMG

Nein

coords

A

Ja

crosstab

TABLE

Nein

crosstabgrand

TABLE

Nein

data

object

Nein
data-win-bind Dieses Attribut ist für alle Elemente zulässig. Ja
data-win-control Dieses Attribut ist für alle Elemente zulässig. Ja
data-win-fragmentload Dieses Attribut ist für alle Elemente zulässig. Ja
data-win-fragmentload Dieses Attribut ist für alle Elemente zulässig. Ja
data-win-options Dieses Attribut ist für alle Elemente zulässig. Ja
data-win-res Dieses Attribut ist für alle Elemente zulässig. Ja
data-win-resid Dieses Attribut ist für alle Elemente zulässig. Ja

datafield

td, th

Nein

dataFld

DIV

Nein

dataFormatAs

DIV

Nein

dataSrc

div, param

Ja

datetime

del, ins

Ja

declare

object

Nein

defer

SCRIPT

Nein
default Ja

dir

Dieses Attribut ist für alle Elemente zulässig.

Ja

direction

MARQUEE

Ja
dirname Ja

disableddisabled

button, input, optgroup, option, select, textarea

Ja

disposition

LINK

Nein
draggable Dieses Attribut ist für alle Elemente zulässig. Ja
dropzone Dieses Attribut ist für alle Elemente zulässig. Ja

dynsrc

IMG

Ja

enctype

form

Nein

face

basefont, font

Ja

filter

td, th, tr

Nein

for

LABEL

Nein
form Ja
formaction Ja
formenctype Ja
formmethod Ja
formnovalidate Ja
formtarget Ja

formula

TD

Nein

frame

TABLE

Nein

frameBorder

frame, iframe

Nein

frameSpacing

frame, frameset, iframe

Nein

gutter

MULTICOL

Nein

headers

td, th

Ja

height

IFRAME

Nein

height

marquee

Ja

height

td, th, TR Ja

height

img, object, input Ja

height

applet

Nein

height

table

Ja
hidden Dieses Attribut ist für alle Elemente zulässig. Ja
high Ja

href

a, area, link

Ja

href

base

Ja

hreflang

a, link

Ja

hspace

applet, img, object

Ja

hspace

marquee

Ja

http-Equiv

META

Nein

id

Dieses Attribut ist für alle Elemente zulässig.

Ja
icon Ja

if

Nicht in W3C, aber in MSO unterstützt

Nein

ifapp

Nicht in W3C, aber in MSO unterstützt

Nein

ismap

img, input

Nein
keytype Ja
kind Ja

label

OPTION

Ja

label

OPTGROUP

Ja

lang

Dieses Attribut ist für alle Elemente zulässig.

Ja

language

SCRIPT

Nein

left

LAYER

Nein

leftmargin

body

Ja

link

body

Ja

longdesc

IMG

Ja

longdesc

frame, iframe

Nein

loop

BGSOUND, embed, img, MARQUEE

Ja
low Ja

lowsrc

IMG

Ja
manifest Ja

marginHeight

frame, iframe

Nein

marginWidth

frame, iframe

Nein
max Ja

maxLength

input

Nein

media

STYLE

Nein

media

LINK

Nein

method

form

Nein

methods

a, link

Nein
min Ja
msallowcapture Dieses Attribut ist für alle Elemente zulässig.

msallowclip

Dieses Attribut ist für alle Elemente zulässig.

Ja
mstagchanged

img

Ja

multiple

SELECT

Ja

name

Alle Elemente

Nein

noHref

AREA

Nein
novalidate Ja

noResize

FRAME

Nein

noShade

HR

Ja

noWrap

td, th

Ja

ns

Nicht in W3C, aber in MSO unterstützt

Nein

object

applet

Nein
on* on*-Attribute (wie "onabort") sind für kein Element zulässig. Nein
open Ja
optimum Ja

pagefield

td, th

Nein
pattern Ja
placeholder Ja
poster Ja

prefix

Nicht in W3C, aber in MSO unterstützt

Nein
preload Ja

profile

HEAD

Nein

prompt

ISINDEX

Nein
pubdate Ja
radiogroup Ja

readonly

TEXTAREA

Ja

readonly

input

Ja

rel

a, link

Ja
required Ja

rev

a, link

Ja
reversed Ja
role Dieses Attribut ist für alle Elemente zulässig. Ja

rowfield

td, th

Nein

rows

FRAMESET

Nein

rows

textarea

Ja

rowSpan

td, th

Ja

rules

TABLE

Ja
sandbox Ja
scheme

META

Ja

scope

td, th

Ja
scoped Ja

scrollamount

MARQUEE

Ja

scrolldelay

MARQUEE

Ja

scrolling

frame, iframe

Nein
seamless Ja
security

iframe

Ja

selected

option

Ja

shape

AREA

Ja

shape

A

Ja

shapes

BGSOUND, img, input, MARQUEE, object, select, textarea

Nein

size

HR

Nein

size

FONT

Ja

size

input

Ja

size

BASEFONT

Ja

size

SELECT

Ja

sizes

Ja

span

COL

Ja

span

COLGROUP

Ja
spellcheck Dieses Attribut ist für alle Elemente zulässig. Ja

src

SCRIPT

Nein

src

input

Ja

src

frame, iframe

Nein

src

IMG

Ja

src

bgsound

Ja
srcdoc Ja
srclang Ja

standby

object

Nein

start

OL

Ja
start

img

Ja
step Ja

style

Dieses Attribut ist für alle Elemente zulässig.

Ja

summary

table

Ja

subtotal

td, th

Nein

tabIndex

a, area, button, input, select, textarea

Ja

tabIndex

object

Nein

tabIndex

Dieses Attribut ist für alle Elemente zulässig.

Ja

target

a, area, base, form, link

Nein

text

body

Ja

title

Dieses Attribut ist für alle Elemente zulässig.

Ja

top

LAYER

Nein

topmargin

body

Ja

type

a, link

Ja

type

object

Ja

type

PARAM

Ja

type

SCRIPT

Ja

type

STYLE

Ja

type

input

Nein

type

li

Ja

type

OL

Ja

type

UL

Ja

type

BUTTON

Nein

usemap

img, input, object

Ja

vAlign

col, colgroup, tbody, td, tfoot, th, thead, tr

Ja

vAlign [c41]

caption

Ja

value

input

Ja

value

OPTION

Ja

value

PARAM

Nein

value

button

Ja

value

LI

Ja

valuetype

PARAM

Nein

version

html

Ja

vLink

body

Ja

volume

embed

Nein

vspace

applet, img, object

Ja

vspace [c44]

marquee

Ja
webpartid [c45]

div

Ja

wide

Nicht in W3C, aber in MSO unterstützt

Nein

width

HR

Y

width

IFRAME

Ja

width

img, object, input Ja

width

marquee

Ja

width

table

Ja

width

td, th

Ja

width

applet

Nein

width

col

Ja

width

colgroup

Ja

width

pre

Ja

wrap

TEXTAREA

Ja
x-ms-flow Ja

 

CSS-Pseudoklassen, Pseudoelemente und Regeln

In der folgenden Liste ist aufgeführt, ob eine Pseudoklasse, ein Pseudoelement oder eine Regel als sicher erachtet wird. Das System löst eine Ausnahme aus, wenn ein unsicheres Element identifiziert wird.

Pseudoklasse, Pseudoelement oder Regel Zugelassen
Unbekannte Pseudoklassen, Pseudoelemente und RegelnNein
!important Ja
:active Ja
:first-letter Ja
:first-line Ja
:hover Ja
:link Ja
:visited Ja
@charset Nein
@font-face Nein
@import Nein
@media Ja
@page Ja

 

CSS-Eigenschaften

In der nächsten Liste ist aufgeführt, ob eine CSS-Eigenschaft als sicher erachtet wird. Das System löst eine Ausnahme aus, wenn eine unsichere Eigenschaft identifiziert wird.

EigenschaftZugelassen
Unbekannte EigenschaftenNein
CSS-Kommentare (/* Kommentar */)Nein
-ms-animation Ja
-ms-animation-delay Ja
-ms-animation-direction Ja
-ms-animation-duration Ja
-ms-animation-iteration-count Ja
-ms-animation-name Ja
-ms-animation-play-state Ja
-ms-animation-timing-function Ja
-ms-backface-visibility Ja
-ms-behaviorJa
-ms-box Ja
-ms-box-alignJa
-ms-content-zoom-chaining Ja
-ms-content-zoom-maxJa
-ms-content-zoom-max-styleJa
-ms-content-zoom-min-styleJa
-ms-content-zoom-snap-intervalJa
-ms-content-zoom-snap-startJa
-ms-content-zoom-snap-styleJa
-ms-content-zoom-snap-type Ja
-ms-content-zooming Ja
-ms-gridJa
-ms-grid-cellJa
-ms-grid-column Ja
-ms-grid-column-align Ja
-ms-grid-column-span Ja
-ms-grid-columns Ja
-ms-grid-row Ja
-ms-grid-row-align Ja
-ms-grid-row-span Ja
-ms-perspective Ja
-ms-perspective-origin Ja
-ms-scroll-chaining Ja
-ms-scroll-rails Ja
-ms-scroll-snap-points-x Ja
-ms-scroll-snap-points-y Ja
-ms-scroll-snap-styleJa
-ms-scroll-snap-type Ja
-ms-scroll-snap-x Ja
-ms-scroll-snap-x-intervalJa
-ms-scroll-snap-x-startJa
-ms-scroll-snap-y Ja
-ms-scroll-snap-y-intervalJa
-ms-scroll-snap-y-startJa
-ms-scrollbar-3d-light-colorJa
-ms-scrollbar-dark-shadow-colorJa
-ms-transform Ja
-ms-transform-origin Ja
-ms-transform-style Ja
-ms-transition Ja
-ms-transition-delay Ja
-ms-transition-duration Ja
-ms-transition-property Ja
-ms-transition-timing-function Ja
acceleratorJa
alignment-baselineJa
azimuthJa
background Ja
background-attachment Ja
background-clip Ja
background-color Ja
background-image Ja
background-origin Ja
background-position Ja
background-position-x Ja
background-position-y Ja
background-repeat Ja
background-size Ja
baseline-shift Ja
behavior Ja
block-direction Ja
border Ja
border-bottom Ja
border-bottom-color Ja
border-bottom-left-radius Ja
border-bottom-right-radius Ja
border-bottom-style Ja
border-bottom-width Ja
border-collapse Ja
border-color Ja
border-left Ja
border-left-color Ja
border-left-style Ja
border-left-width Ja
border-radius Ja
border-right Ja
border-right-color Ja
border-right-style Ja
border-right-width Ja
border-spacing Ja
border-style Ja
border-top Ja
border-top-color Ja
border-top-left-radius Ja
border-top-right-radius Ja
border-top-style Ja
border-top-width Ja
border-width Ja
bottom Ja
box-shadow Ja
break-after Ja
break-before Ja
break-inside Ja
caption-side Ja
clear Ja
clip Ja
clip-bottom Ja
clip-left Ja
clip-path Ja
clip-right Ja
clip-rule Ja
Ja
color Ja
color-interpolation-filters Ja
column-count Ja
column-fill Ja
column-gap Ja
column-rule Ja
column-rule-color Ja
column-rule-style Ja
column-rule-width Ja
column-span Ja
column-width Ja
columns Ja
content Ja
counter-increment Ja
counter-reset Ja
css-float Ja
cue Ja
cue-after Ja
cue-before Ja
cursor Ja
direction Ja
display Ja
dominant-baseline Ja
elevation Ja
empty-cells Ja
fill Ja
fill-opacity Ja
fill-rule Ja
filter Ja
float Ja
flood-color Ja
flood-opacity Ja
font Ja
font-color Ja
font-emphasize Ja
font-emphasize-position Ja
font-emphasize-style Ja
font-family Ja
font-size Ja
font-size-adjust Ja
font-stretch Ja
font-style Ja
font-variant Ja
font-weight Ja
glyph-orientation-horizontal Ja
glyphorientation-vertical Ja
has-layout Ja
height Ja
horiz-align Ja
ime-mode Ja
kerning Ja
language Ja
layout-flow Ja
layout-grid Ja
layout-grid-char Ja
layout-grid-line Ja
layout-grid-mode Ja
layout-grid-type Ja
left Ja
letter-spacing Ja
line-break Ja
line-height Ja
list-image-1 Ja
list-image-2 Ja
list-image-3 Ja
list-style Ja
list-style-image Ja
list-style-position Ja
list-style-type Ja
margin Ja
margin-bottom Ja
margin-left Ja
margin-right Ja
margin-top Ja
marker Ja
marker-end Ja
marker-mid Ja
marker-offset Ja
marker-start Ja
marks Ja
masks Ja
max-width Ja
min-height Ja
min-width Ja
mso-………. Nein
nav-banner-image Ja
navbutton_background_color Ja
navbutton_home_hovered Ja
navbutton_home_normal Ja
navbutton_home_pushed Ja
navbutton_horiz_hovered Ja
navbutton_horiz_normal Ja
navbutton_horiz_pushed Ja
navbutton_next_hovered Ja
navbutton_next_normal Ja
navbutton_next_pushed Ja
navbutton_prev_hovered Ja
navbutton_prev_normal Ja
navbutton_prev_pushed Ja
navbutton_up_hovered Ja
navbutton_up_normal Ja
navbutton_up_pushed Ja
navbutton_vert_hovered Ja
navbutton_vert_normal Ja
navbutton_vert_pushed Ja
opacity Ja
orphans Ja
outline-color Ja
outline-style Ja
outline-width Ja
overflow Ja
overflow-x Ja
overflow-y Ja
padding Ja
padding-bottom Ja
padding-left Ja
padding-right Ja
padding-top Ja
page Ja
page-break-after Ja
page-break-before Ja
page-break-inside Ja
panose-1 Ja
pause Ja
pause-after Ja
pause-before Ja
pitch Ja
pitch-range Ja
pixel-bottom Ja
pixel-height Ja
pixel-left Ja
pixel-right Ja
pixel-top Ja
pixel-width Ja
play-during Ja
pointer-events Ja
pos-bottom Ja
pos-height Ja
pos-left Ja
pos-right Ja
pos-top Ja
pos-width Ja
position Ja
punctuation-trim Ja
punctuation-wrap Ja
quotes Ja
richness Ja
right Ja
row-span Ja
ruby-align Ja
ruby-overhang Ja
ruby-position Ja
scrollbar-3dlight-color Ja
scrollbar-arrow-color Ja
scrollbar-base-color Ja
scrollbar-dark-shadow-color Ja
scrollbar-face-color Ja
scrollbar-highlight-color Ja
scrollbar-shadow-color Ja
scrollbar-track-color Ja
separator-image Ja
size Ja
speak Ja
speak-header Ja
speak-numeral Ja
speak-punctuation Ja
speech-rate Ja
src Ja
stop-color Ja
stop-opacity Ja
stress Ja
stroke Ja
stroke-dasharray Ja
stroke-dashoffset Ja
stroke-linecap Ja
stroke-linejoin Ja
stroke-miterlimit Ja
stroke-opacity Ja
stroke-width Ja
style-float Ja
tab-interval Ja
table-border-color-dark Ja
table-border-color-light Ja
table-layout Ja
tab-stops Ja
text-anchor Ja
text-align Ja
text-align-last Ja
text-autospace Ja
text-combine Ja
text-decoration Ja
text-decoration-blink Ja
text-decoration-line-through Ja
text-decoration-none Ja
text-decoration-overline Ja
text-decoration-underline Ja
text-effect Ja
text-fit Ja
text-indent Ja
text-justify Ja
text-justify-trim Ja
text-kashida Ja
text-kashida-space Ja
text-line-through Ja
text-overflow Ja
text-shadow Ja
text-transform Ja
text-underline Ja
text-underline-color Ja
text-underline-position Ja
text-underline-style Ja
top Ja
top-bar-button Ja
unicode-bidi Ja
version Ja
vert-align Ja
vertical-align Ja
visibility Ja
voice-family Ja
volume Ja
white-space Ja
width Ja
windows Ja
word-break Ja
word-spacing Ja
word-wrap Ja
writing-mode Ja
z-index Ja
zoom Ja

 

Smarttags

Durch toStaticHTML werden alle Smarttags und zugehörige Attribute entfernt.

URIs und Schemas

toStaticHTML blockiert diese Schemas und entfernt sie aus der verarbeiteten HTML-Datei:

  • about:
  • cdl:
  • data:
  • dvd:
  • file:
  • its:
  • javascript:
  • local:
  • mhtml:
  • mk:
  • ms-help:
  • ms-its:
  • res:
  • tv:
  • vbscript:

URIs müssen richtig formatiert sein. toStaticHTML blockiert falsch formatierte URIs und entfernt diese aus dem verarbeiteten HTML.

 

 

Anzeigen:
© 2015 Microsoft