WYSIWYGテキストエリアコンポーネントのセキュリティ
-
19-08-2019 - |
質問
本当に私の質問は、WYSIWYGフォームコンポーネントを介して受け入れられるhtmlのサーバー側のスクラブに関係しています。現在、htmlpurifier.orgのライブラリを使用することに傾倒しています。私は別の場所でphp strip_tags()関数を使用しています。誰にもアドバイス/好み/推奨事項がありますか?
解決
strip_tags
は非常に脆弱です-何もしないかもしれません。 HtmlPurifierは、おそらくhtmlクレンジングと同じくらい優れています。セキュリティについて本当に真剣に考えているなら、おそらくhtml入力を完全に禁止すべきでしょうが、それは常にオプションではないことを理解しています。
他のヒント
on*
などの<p onclick="alert('hi!');">
属性を削除することを忘れないでください。
これはいくつかの問題を引き起こす可能性があります。
所属していません StackOverflow