在自己的工程中使用了开源的EpicEditor,一种Markdown编辑器。但是从Markdown编辑器获取的内容在保持到MySQL数据库之前,应该要做一些过滤动作吧。比如引用第三方资源(JS/CSS/iframe),标签转义,避免SQL注入攻击等。
是否有最佳实践?是否有开源的组件可用?
怪我咯2017-04-18 09:47:48
오픈 소스 구성 요소를 찾지 못했지만 이 문제에 대한 간략한 토론은 여기에서 찾을 수 있습니다. xss
SQL 삽입을 방지하려면 엄격한 입력 필터링, 고급 데이터베이스 연결 클래스 및 ORM을 사용하여 방지해야 합니다. 그것.
怪我咯2017-04-18 09:47:48
저는 이 오픈소스 편집기를 사용해 본 적이 없어서 서버로 보내는 콘텐츠가 마크다운 구문 콘텐츠인지 마크다운 번역된 HTML인지 모르겠습니다.
후자의 경우 Bleach를 사용하여 HTML 태그를 정리할 수 있습니다.
예:
포털: http://bleach.readthedocs.io/...