如果為了防止xss注入過濾了html標籤,富文本編輯器的功能就沒有了,一起過濾了,如果留著html,又不能防xss注入。
正常一般是怎麼處理這個問題的? ? ?只過濾 特定標籤? ? ?
如果為了防止xss注入過濾了html標籤,富文本編輯器的功能就沒有了,一起過濾了,如果留著html,又不能防xss注入。
正常一般是怎麼處理這個問題的? ? ?只過濾 特定標籤? ? ?
HTML Purifier是採用PHP編寫的HTML過濾器,可以搭配WYSIWYG編輯器使用,過濾掉XSS惡意程式碼.
<code><?php require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php'; $purifier = new HTMLPurifier(); echo $purifier->purify($html);</code>
我覺得白名單就好,留著你要用的標籤,其他全部過濾
你的富文本編輯器支援什麼功能就不過濾,其他的過濾就行了唄。難道你收到一個p標籤你還要區分他是用你的編輯器加的還是自己手動加的?
規定要用自己的一套新文法行不?
過濾掉js腳本就行了
入庫的時候 轉義為實體字元
出庫的時候還原。
並過濾掉
<script></script>
javascript:xxx;
這種
