WYSIWYG de segurança do componente textarea
-
19-08-2019 - |
Pergunta
Realmente a minha pergunta tem mais a ver com o esfregar de html do lado do servidor que é aceito por meio do componente forma WYSIWYG. Agora eu estou inclinado a usar de htmlpurifier.org biblioteca. Estou usando strip_tags php () funcionar em outro lugar. Alguém tem um conselho / preferências / recomendações?
Solução
strip_tags
é muito vulnerável - assim como você pode não fazer nada. HTMLPurifier é provavelmente tão bom quanto ele ganha com html-limpeza. Se você for realmente sério sobre a segurança, você provavelmente deve disallow entrada html inteiramente, mas eu percebo que nem sempre é uma opção.
Outras dicas
Não se esqueça de esfregar os atributos on*
como <p onclick="alert('hi!');">
.
Isso pode causar alguns problemas.