首頁  >  文章  >  後端開發  >  ckeditor的安全性问题

ckeditor的安全性问题

WBOY
WBOY原創
2016-06-23 14:13:371203瀏覽

ckeditor 是一个可视化的编辑工具,当提交时,POST到服务器端的是“HTML代码”,

虽然在客户端的“所见即所得”模式下,会自动过滤一些不安全的代码,但并不能保证服务器端接收到的都是安全的HTML代码,ckeditor 是否提供有服务器端的HTML过滤工具?


回复讨论(解决方案)

客户端提交的数据本来就不是百分百的可靠,服务端做一些验证还是有必要的。

ckeditor 是否提供有服务器端的HTML过滤工具?
想知道这个插件是否有着功能,那你得看下它的源码,分析下就知道的,
但是自己还是要在服务端检测下,避免有bug出现。

感谢楼上两位的回答,确实要执行服务器端的检测。关键是怎么保证html元素的完整性呢?

比如:用户上传不规范的html代码,如:

123

456

789aaa

这些代码和系统原有的代码组合后可能会乱套,但你又不能禁用这些html代码,他们可能是一张图片,一个链接或一些样式,如何避免这种情况的发生?

如果在服务器端也要做这种处理,感觉就是做了个系统一样,难度很大啊,请高人指点~~~

服务器端应该过滤哪些标签呢?比如:

<script></script>




还有哪些是必须过滤的呢???

ckeditor 从 sourse 模式 转换成 wusiwug 模式时是执行哪里的文件代码进行过滤的?有知道的高手请说一声啊,谢谢了~~~

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn