WYSIWYG de segurança do componente textarea
https://stackoverflow.com/questions/459408
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Realmente a minha pergunta tem mais a ver com o esfregar de html do lado do servidor que é aceito por meio do componente forma WYSIWYG. Agora eu estou inclinado a usar de htmlpurifier.org biblioteca. Estou usando strip_tags php () funcionar em outro lugar. Alguém tem um conselho / preferências / recomendações?
Solução
strip_tags é muito vulnerável - assim como você pode não fazer nada. HTMLPurifier é provavelmente tão bom quanto ele ganha com html-limpeza. Se você for realmente sério sobre a segurança, você provavelmente deve disallow entrada html inteiramente, mas eu percebo que nem sempre é uma opção.
Outras dicas
Não se esqueça de esfregar os atributos on* como <p onclick="alert('hi!');">.
Isso pode causar alguns problemas.
