ホームページ >バックエンド開発 >PHPチュートリアル >JavaScript - リッチ テキスト エディターでの xss インジェクションを防ぐにはどうすればよいですか?

JavaScript - リッチ テキスト エディターでの xss インジェクションを防ぐにはどうすればよいですか?

WBOY
WBOYオリジナル
2016-08-20 09:04:072599ブラウズ

xssインジェクションを防ぐためにhtmlタグをフィルタリングするとリッチテキストエディタの機能がなくなり一緒にフィルタリングされてしまいます htmlが残っている場合はxssインジェクションを防ぐことができません。
あなたは普段この問題にどのように対処しますか? ? ?特定のタグのみをフィルタリングしますか? ? ?

返信内容:

xssインジェクションを防ぐためにhtmlタグをフィルタリングするとリッチテキストエディタの機能がなくなり一緒にフィルタリングされてしまいます htmlが残っている場合はxssインジェクションを防ぐことができません。
あなたは普段この問題にどのように対処しますか? ? ?特定のタグのみをフィルタリングしますか? ? ?

HTML Purifier は PHP で書かれた HTML フィルターであり、WYSIWYG エディターで使用して XSS 悪意のあるコードをフィルターで除外できます。

リーリー

ホワイトリストで十分だと思います。使用したいタグだけを保持し、それ以外はすべてフィルタリングしてください

リッチ テキスト エディターがサポートする機能をフィルターする必要はありません。他の機能をフィルターするだけです。 p タグを受け取ったとき、それがエディターを使用して追加されたのか手動で追加されたのかを区別する必要がありますか?

独自の新しい文法セットを使用する必要があると規定しても大丈夫ですか?

js スクリプトをフィルタリングするだけです

データベース入力時にエンティティ文字にエスケープ
エクスポート時に復元。
そしてフィルターで
<script></script>
javascript:xxx;
この種類

を除外します
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。