84669 人が学習中
152542 人が学習中
20005 人が学習中
5487 人が学習中
7821 人が学習中
359900 人が学習中
3350 人が学習中
180660 人が学習中
48569 人が学習中
18603 人が学習中
40936 人が学習中
1549 人が学習中
1183 人が学習中
32909 人が学習中
如果为了防止xss注入过滤了html标签,富文本编辑器的功能就没有了,一起过滤了,如果留着html,又不能防xss注入。正常一般是怎么处理这个问题的???只过滤 特定标签???
过滤掉js脚本就行了
入库的时候 转义为实体字符出库的时候还原。并过滤掉<script></script>javascript:xxx;这种
HTML Purifier是一个采用PHP编写的HTML过滤器,可以搭配WYSIWYG编辑器使用,过滤掉XSS恶意代码.
<?php require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php'; $purifier = new HTMLPurifier(); echo $purifier->purify($html);
我觉得白名单就好,留着你要用的标签,其他全部过滤
你的富文本编辑器支持什么功能就不过滤,其他的过滤就行了呗。难道你收到一个p标签你还要区分他是用你的编辑器加的还是自己手动加的?
规定要用自己的一套新语法行不?
过滤掉js脚本就行了
入库的时候 转义为实体字符
出库的时候还原。
并过滤掉
<script></script>
javascript:xxx;
这种
HTML Purifier是一个采用PHP编写的HTML过滤器,可以搭配WYSIWYG编辑器使用,过滤掉XSS恶意代码.
我觉得白名单就好,留着你要用的标签,其他全部过滤
你的富文本编辑器支持什么功能就不过滤,其他的过滤就行了呗。难道你收到一个p标签你还要区分他是用你的编辑器加的还是自己手动加的?
规定要用自己的一套新语法行不?