HTML Purifier Die Nutzung von Links zu eigenen Seite zu stoppen

Question

ich verwendet habe HTML Purifier jede verdächtige Sachen in meiner öffentlichen Blick auf WYSIWYG-Editor kommt auszusondern. Der ankommende HTML wird auch im öffentlichen Teil der Website angezeigt wird.

Ich habe Links erlaubt, und ich automatisch auch URLs in Klartext (mit dem Reiniger) Linkify.

Gibt es eine Möglichkeit externe Links zu erlauben, aber Verbot Links auf die gleiche Domain? meine Domain beispiel ist www.example.com

http://www.google.com wird verknüpft werden.

http://www.example.com/logout/ nicht verknüpft werden.

Ich bin auf der Suche, um Störungen durch böswillige Benutzer zu minimieren. Soll ich nur meinen Logout-Link ein Formular Aktion mit einem POST Schlüssel / Wert-Paar mache dies zu stoppen passiert?

Danke

Answer 1

Ihre Login / out Form sollte immer POST-only.

Kümmere dich nicht um einen Prüfwert, aber das ist eine sehr wichtige Frage der Sicherheit - alle Transaktionen, die der Zustand des Webservers ändern sollte POST-Anforderungen sein. Sie sollten NIEMALS http://example.com/object?action=delete oder jede Variante davon. PHP fördert schlechte Praxis in dieser Angelegenheit, aber man sollte immer das eine oder andere verwenden, und niemals beide ermöglicht.

Wenn die Benutzer Formulare in WYSIWYG-Editor schreiben können, haben Sie weit größere Probleme als diese.

Ihre ursprüngliche Frage zu beantworten, interne Links zu deaktivieren, verwenden Sie URI.HostBlacklist und sicher sein, URI.MakeAbsolute einzustellen:

http://htmlpurifier.org/live/configdoc/plain.html # URI.HostBlacklist