所见即所得文本区域组件的安全
https://stackoverflow.com/questions/459408
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
真是我的问题更多的是与同时通过所见即所得的表单组件接受HTML的服务器端擦洗。现在我倾向于使用htmlpurifier.org的图书馆。我使用PHP用strip_tags()函数在其他地方。任何人都有一个咨询/首选项/建议?
解决方案
strip_tags是非常脆弱的 - 你还不如什么都不做。 HtmlPurifier可能是好,因为它与HTML的清洗得到。如果您对安全认认真真的,你应该禁止HTML输入完全,但我知道这并不总是一个选项。
其他提示
不要忘了擦洗出像on*的<p onclick="alert('hi!');">属性。
这可能会导致一些麻烦。
不隶属于 StackOverflow
