所见即所得文本区域组件的安全
-
19-08-2019 - |
题
真是我的问题更多的是与同时通过所见即所得的表单组件接受HTML的服务器端擦洗。现在我倾向于使用htmlpurifier.org的图书馆。我使用PHP用strip_tags()函数在其他地方。任何人都有一个咨询/首选项/建议?
解决方案
strip_tags
是非常脆弱的 - 你还不如什么都不做。 HtmlPurifier可能是好,因为它与HTML的清洗得到。如果您对安全认认真真的,你应该禁止HTML输入完全,但我知道这并不总是一个选项。
其他提示
不要忘了擦洗出像on*
的<p onclick="alert('hi!');">
属性。
这可能会导致一些麻烦。
不隶属于 StackOverflow