ホームページ > バックエンド開発 > PHPチュートリアル > JavaScript - リッチ テキスト エディターでの xss インジェクションを防ぐにはどうすればよいですか?

JavaScript - リッチ テキスト エディターでの xss インジェクションを防ぐにはどうすればよいですか?

WBOY
リリース: 2016-08-20 09:04:07
オリジナル
2579 人が閲覧しました

xssインジェクションを防ぐためにhtmlタグをフィルタリングするとリッチテキストエディタの機能がなくなり一緒にフィルタリングされてしまいます htmlが残っている場合はxssインジェクションを防ぐことができません。
あなたは普段この問題にどのように対処しますか? ? ?特定のタグのみをフィルタリングしますか? ? ?

返信内容:

xssインジェクションを防ぐためにhtmlタグをフィルタリングするとリッチテキストエディタの機能がなくなり一緒にフィルタリングされてしまいます htmlが残っている場合はxssインジェクションを防ぐことができません。
あなたは普段この問題にどのように対処しますか? ? ?特定のタグのみをフィルタリングしますか? ? ?

HTML Purifier は PHP で書かれた HTML フィルターであり、WYSIWYG エディターで使用して XSS 悪意のあるコードをフィルターで除外できます。

リーリー

ホワイトリストで十分だと思います。使用したいタグだけを保持し、それ以外はすべてフィルタリングしてください

リッチ テキスト エディターがサポートする機能をフィルターする必要はありません。他の機能をフィルターするだけです。 p タグを受け取ったとき、それがエディターを使用して追加されたのか手動で追加されたのかを区別する必要がありますか?

独自の新しい文法セットを使用する必要があると規定しても大丈夫ですか?

js スクリプトをフィルタリングするだけです

データベース入力時にエンティティ文字にエスケープ
エクスポート時に復元。
そしてフィルターで
<script></script>
javascript:xxx;
この種類

を除外します
関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート