xss 삽입을 방지하기 위해 html 태그를 필터링하면 리치 텍스트 편집기의 기능이 사라지고 html이 유지되면 xss 삽입이 방지되지 않습니다.
이 문제는 평소 어떻게 해결하시나요? ? ? 특정 태그만 필터링하시겠습니까? ? ?
xss 삽입을 방지하기 위해 html 태그를 필터링하면 리치 텍스트 편집기의 기능이 사라지고 html이 유지되면 xss 삽입이 방지되지 않습니다.
이 문제는 평소 어떻게 해결하시나요? ? ? 특정 태그만 필터링하시겠습니까? ? ?
HTML Purifier는 PHP로 작성된 HTML 필터로, WYSIWYG 편집기와 함께 사용하여 XSS 악성 코드를 필터링할 수 있습니다.
<code><?php require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php'; $purifier = new HTMLPurifier(); echo $purifier->purify($html);</code>
화이트리스트가 좋다고 생각합니다. 사용하려는 태그만 유지하고 다른 모든 항목은 필터링하면 됩니다.
리치 텍스트 편집기가 지원하는 기능을 필터링하지 말고 다른 기능만 필터링하세요. p 태그를 받으면 편집기를 사용하여 추가했는지 아니면 수동으로 추가했는지 구별해야 합니까?
자신만의 새로운 문법을 사용해야 한다고 규정해도 괜찮나요?
js 스크립트만 필터링하세요
데이터베이스에 들어갈 때 엔터티 문자로 이스케이프되었습니다.
내보낼 때 복원됩니다.
<script></script>
javascript:xxx;
이런 종류
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
