简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
javascript - 富文本编辑器怎么防止xss注入?
巴扎黑
巴扎黑 2017-04-11 12:13:54
0
6
838

如果为了防止xss注入过滤了html标签,富文本编辑器的功能就没有了,一起过滤了,如果留着html,又不能防xss注入。
正常一般是怎么处理这个问题的???只过滤 特定标签???

巴扎黑
巴扎黑

reply all (6)
巴扎黑
巴扎黑2017-04-11 12:15:54 6 floor

过滤掉js脚本就行了

Like+0
Add Reply
    PHPzhong
    PHPzhong2017-04-11 12:15:54 5 floor

    入库的时候 转义为实体字符
    出库的时候还原。
    并过滤掉

    javascript:xxx;
    这种

    Like+0
    Add Reply
      PHPzhong
      PHPzhong2017-04-11 12:15:54 4 floor

      HTML Purifier是一个采用PHP编写的HTML过滤器,可以搭配WYSIWYG编辑器使用,过滤掉XSS恶意代码.

      purify($html);
      Like+0
      Add Reply
        迷茫
        迷茫2017-04-11 12:15:54 3 floor

        我觉得白名单就好,留着你要用的标签,其他全部过滤

        Like+0
        Add Reply
          伊谢尔伦
          伊谢尔伦2017-04-11 12:15:54 2 floor

          你的富文本编辑器支持什么功能就不过滤,其他的过滤就行了呗。难道你收到一个p标签你还要区分他是用你的编辑器加的还是自己手动加的?

          Like+0
          Add Reply
            Ty80
            Ty802017-04-11 12:15:54 1 floor

            规定要用自己的一套新语法行不?

            Like+0
            Add Reply
              Popular Topics
              More>
              Popular Articles
              Popular Tutorials
              More>
              Related Tutorials
              Popular Recommendations
              Latest courses
              Latest Downloads
              More>
              Web Effects
              Website Source Code
              Website Materials
              Front End Template
              About us Disclaimer Sitemap
              php.cn:Public welfare online PHP training,Help PHP learners grow quickly!