首頁 >後端開發 >php教程 >javascript - 富文本編輯器怎麼防止xss注入?

javascript - 富文本編輯器怎麼防止xss注入?

WBOY
WBOY原創
2016-08-20 09:04:072599瀏覽

如果為了防止xss注入過濾了html標籤,富文本編輯器的功能就沒有了,一起過濾了,如果留著html,又不能防xss注入。
正常一般是怎麼處理這個問題的? ? ?只過濾 特定標籤? ? ?

回覆內容:

如果為了防止xss注入過濾了html標籤,富文本編輯器的功能就沒有了,一起過濾了,如果留著html,又不能防xss注入。
正常一般是怎麼處理這個問題的? ? ?只過濾 特定標籤? ? ?

HTML Purifier是採用PHP編寫的HTML過濾器,可以搭配WYSIWYG編輯器使用,過濾掉XSS惡意程式碼.

<code><?php
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);</code>

我覺得白名單就好,留著你要用的標籤,其他全部過濾

你的富文本編輯器支援什麼功能就不過濾,其他的過濾就行了唄。難道你收到一個p標籤你還要區分他是用你的編輯器加的還是自己手動加的?

規定要用自己的一套新文法行不?

過濾掉js腳本就行了

入庫的時候 轉義為實體字元
出庫的時候還原。
並過濾掉
<script></script>
javascript:xxx;
這種

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn