WYSIWYG sicurezza del componente textarea
-
19-08-2019 - |
Domanda
In realtà la mia domanda ha più a che fare con lo scrubbing lato server di html che è accettato tramite il componente del modulo WYSIWYG. In questo momento mi sto orientando verso l'utilizzo della libreria di htmlpurifier.org. Sto usando la funzione php strip_tags () altrove. Qualcuno ha un consiglio / preferenze / raccomandazioni?
Soluzione
strip_tags
è molto vulnerabile: potresti non fare nulla. HtmlPurifier è probabilmente buono come lo è con la pulizia html. Se sei davvero serio sulla sicurezza, probabilmente dovresti impedire del tutto l'input html, ma mi rendo conto che non è sempre un'opzione.
Altri suggerimenti
Non dimenticare di cancellare gli attributi on*
come <p onclick="alert('hi!');">
.
Ciò può causare qualche problema.