首頁 > 後端開發 > php教程 > javascript - 富文本編輯器怎麼防止xss注入?

javascript - 富文本編輯器怎麼防止xss注入?

WBOY
發布: 2016-08-20 09:04:07
原創
2579 人瀏覽過

如果為了防止xss注入過濾了html標籤,富文本編輯器的功能就沒有了,一起過濾了,如果留著html,又不能防xss注入。
正常一般是怎麼處理這個問題的? ? ?只過濾 特定標籤? ? ?

回覆內容:

如果為了防止xss注入過濾了html標籤,富文本編輯器的功能就沒有了,一起過濾了,如果留著html,又不能防xss注入。
正常一般是怎麼處理這個問題的? ? ?只過濾 特定標籤? ? ?

HTML Purifier是採用PHP編寫的HTML過濾器,可以搭配WYSIWYG編輯器使用,過濾掉XSS惡意程式碼.

<code><?php
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);</code>
登入後複製

我覺得白名單就好,留著你要用的標籤,其他全部過濾

你的富文本編輯器支援什麼功能就不過濾,其他的過濾就行了唄。難道你收到一個p標籤你還要區分他是用你的編輯器加的還是自己手動加的?

規定要用自己的一套新文法行不?

過濾掉js腳本就行了

入庫的時候 轉義為實體字元
出庫的時候還原。
並過濾掉
<script></script>
javascript:xxx;
這種

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板