WYSIWYG sicurezza del componente textarea
https://stackoverflow.com/questions/459408
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
In realtà la mia domanda ha più a che fare con lo scrubbing lato server di html che è accettato tramite il componente del modulo WYSIWYG. In questo momento mi sto orientando verso l'utilizzo della libreria di htmlpurifier.org. Sto usando la funzione php strip_tags () altrove. Qualcuno ha un consiglio / preferenze / raccomandazioni?
Soluzione
strip_tags è molto vulnerabile: potresti non fare nulla. HtmlPurifier è probabilmente buono come lo è con la pulizia html. Se sei davvero serio sulla sicurezza, probabilmente dovresti impedire del tutto l'input html, ma mi rendo conto che non è sempre un'opzione.
Altri suggerimenti
Non dimenticare di cancellare gli attributi on* come <p onclick="alert('hi!');">.
Ciò può causare qualche problema.
