WYSIWYG textarea компонент безопасности
https://stackoverflow.com/questions/459408
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Действительно, мой вопрос больше связан с очисткой html на стороне сервера, которая принимается через компонент формы WYSIWYG. Прямо сейчас я склоняюсь к использованию библиотеки htmlpurifier.org. Я использую функцию php strip_tags () в другом месте. У кого-нибудь есть совет / предпочтения / рекомендации?
Решение
strip_tags очень уязвим - вы также можете ничего не делать. HtmlPurifier, вероятно, так же хорош, как и при html-очистке. Если вы действительно серьезно относитесь к безопасности, вам, вероятно, следует полностью запретить ввод html, но я понимаю, что это не всегда вариант.
Другие советы
Не забудьте удалить атрибуты on*, например <p onclick="alert('hi!');">.
Это может вызвать некоторые проблемы.
Не связан с StackOverflow
