ckeditor的安全性问题

WBOY
Release: 2016-06-23 14:13:37
Original
1200 people have browsed it

ckeditor 是一个可视化的编辑工具,当提交时,POST到服务器端的是“HTML代码”,

虽然在客户端的“所见即所得”模式下,会自动过滤一些不安全的代码,但并不能保证服务器端接收到的都是安全的HTML代码,ckeditor 是否提供有服务器端的HTML过滤工具?


回复讨论(解决方案)

客户端提交的数据本来就不是百分百的可靠,服务端做一些验证还是有必要的。

ckeditor 是否提供有服务器端的HTML过滤工具?
想知道这个插件是否有着功能,那你得看下它的源码,分析下就知道的,
但是自己还是要在服务端检测下,避免有bug出现。

感谢楼上两位的回答,确实要执行服务器端的检测。关键是怎么保证html元素的完整性呢?

比如:用户上传不规范的html代码,如:

123

456

789aaa

这些代码和系统原有的代码组合后可能会乱套,但你又不能禁用这些html代码,他们可能是一张图片,一个链接或一些样式,如何避免这种情况的发生?

如果在服务器端也要做这种处理,感觉就是做了个系统一样,难度很大啊,请高人指点~~~

服务器端应该过滤哪些标签呢?比如:

<script></script>




还有哪些是必须过滤的呢???

ckeditor 从 sourse 模式 转换成 wusiwug 模式时是执行哪里的文件代码进行过滤的?有知道的高手请说一声啊,谢谢了~~~

Related labels:
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template