javascript - 리치 텍스트 편집기에서 xss 삽입을 방지하는 방법은 무엇입니까?

xss 삽입을 방지하기 위해 html 태그를 필터링하면 리치 텍스트 편집기의 기능이 사라지고 html이 유지되면 xss 삽입이 방지되지 않습니다.
이 문제는 평소 어떻게 해결하시나요? ? ? 특정 태그만 필터링하시겠습니까? ? ?

답글 내용:

xss 삽입을 방지하기 위해 html 태그를 필터링하면 리치 텍스트 편집기의 기능이 사라지고 html이 유지되면 xss 삽입이 방지되지 않습니다.
이 문제는 평소 어떻게 해결하시나요? ? ? 특정 태그만 필터링하시겠습니까? ? ?

HTML Purifier는 PHP로 작성된 HTML 필터로, WYSIWYG 편집기와 함께 사용하여 XSS 악성 코드를 필터링할 수 있습니다.

<code><?php
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);</code>

화이트리스트가 좋다고 생각합니다. 사용하려는 태그만 유지하고 다른 모든 항목은 필터링하면 됩니다.

리치 텍스트 편집기가 지원하는 기능을 필터링하지 말고 다른 기능만 필터링하세요. p 태그를 받으면 편집기를 사용하여 추가했는지 아니면 수동으로 추가했는지 구별해야 합니까?

자신만의 새로운 문법을 사용해야 한다고 규정해도 괜찮나요?

js 스크립트만 필터링하세요

데이터베이스에 들어갈 때 엔터티 문자로 이스케이프되었습니다.
내보낼 때 복원됩니다.

<script></script>
javascript:xxx;
이런 종류

를 필터링하세요.