JavaScript - リッチ テキスト エディターでの xss インジェクションを防ぐにはどうすればよいですか?

xssインジェクションを防ぐためにhtmlタグをフィルタリングするとリッチテキストエディタの機能がなくなり一緒にフィルタリングされてしまいます htmlが残っている場合はxssインジェクションを防ぐことができません。
あなたは普段この問題にどのように対処しますか? ? ?特定のタグのみをフィルタリングしますか? ? ?

返信内容:

xssインジェクションを防ぐためにhtmlタグをフィルタリングするとリッチテキストエディタの機能がなくなり一緒にフィルタリングされてしまいます htmlが残っている場合はxssインジェクションを防ぐことができません。
あなたは普段この問題にどのように対処しますか? ? ?特定のタグのみをフィルタリングしますか? ? ?

HTML Purifier は PHP で書かれた HTML フィルターであり、WYSIWYG エディターで使用して XSS 悪意のあるコードをフィルターで除外できます。

リーリー

ホワイトリストで十分だと思います。使用したいタグだけを保持し、それ以外はすべてフィルタリングしてください

リッチ テキスト エディターがサポートする機能をフィルターする必要はありません。他の機能をフィルターするだけです。 p タグを受け取ったとき、それがエディターを使用して追加されたのか手動で追加されたのかを区別する必要がありますか?

独自の新しい文法セットを使用する必要があると規定しても大丈夫ですか?

js スクリプトをフィルタリングするだけです

データベース入力時にエンティティ文字にエスケープ
エクスポート時に復元。
そしてフィルターで
<script></script>
javascript:xxx;
この種類

を除外します