WYSIWYGテキストエリアコンポーネントのセキュリティ
https://stackoverflow.com/questions/459408
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
本当に私の質問は、WYSIWYGフォームコンポーネントを介して受け入れられるhtmlのサーバー側のスクラブに関係しています。現在、htmlpurifier.orgのライブラリを使用することに傾倒しています。私は別の場所でphp strip_tags()関数を使用しています。誰にもアドバイス/好み/推奨事項がありますか?
解決
strip_tagsは非常に脆弱です-何もしないかもしれません。 HtmlPurifierは、おそらくhtmlクレンジングと同じくらい優れています。セキュリティについて本当に真剣に考えているなら、おそらくhtml入力を完全に禁止すべきでしょうが、それは常にオプションではないことを理解しています。
他のヒント
on*などの<p onclick="alert('hi!');">属性を削除することを忘れないでください。
これはいくつかの問題を引き起こす可能性があります。
所属していません StackOverflow
