javascript - 对富文本编辑器提交的结果过滤-php教程-PHP中文网

首页

后端开发

php教程

javascript - 对富文本编辑器提交的结果过滤

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 08:45 PM

javascriptphp

一般的富文本编辑器比如百度的ueditor，编辑后直接返回一段html代码，为了防止xss,想问问大家如何过滤后入库是比较好的解决方案？（前台读取后直接显示html，比如这个问题本身就是用富文本编辑器提交的）

目前知道可以用：

富文本编辑器设置纯文本粘贴（这个可能会造成用户使用不方便，但sf的编辑器好像就是这么做的，超链接倒是保留了）
一些类库比如 Kses PHP HTML 过滤类设置要保留的标签和标签属性

大家有什么好的高效的做法吗？

回复内容：

目前知道可以用：

富文本编辑器设置纯文本粘贴（这个可能会造成用户使用不方便，但sf的编辑器好像就是这么做的，超链接倒是保留了）
一些类库比如 Kses PHP HTML 过滤类设置要保留的标签和标签属性

大家有什么好的高效的做法吗？

纯文本展贴是用来减少无效html代码数量的，在防范XSS方面没有任何作用。客户端的任何JS代码在攻击者面前都是裸的

如果只需要常见的富文本编辑，不需要直接改动html代码，那么可以考虑UBB code
如果必须直接支持html，可以找wordpress／drupal等开源项目的xss过滤器来用

对@帕奇式的“拿起就用”方案不敢苟同。
如果目的是防XSS，在前端防是防不住的，一定需要在服务端过滤。
例如曾经人人网的日志编辑框使用的是tinymce，前端带了过滤功能（转义大法），于是他们竟然在服务端就没过滤！前端只要把JS禁了，让tinymce加载失败，露出裸的textarea来，就可以随便注入JS代码了。

所以防这个，不管前端防了多严，服务端一定都要再做一次。

狠一点，就把 "" 转义掉。
稍微宽松一点，就把script、iframe等标签去掉。

这个问题的解决办法很简单
有多重方式一种是base64编码解码是一种

基本上就是转义，保持了原样输出，
过滤这块需要这样操作，增加一个方法preg_match url的凡是不是本站的都替换掉

看了看百度的ueditor，只能说很多东西设计得不够自由和弹性。用关键字【过滤规则】也找不到在哪设置，所以还是建议不要用ueditor因为还不够成熟！

那建议你可以：

KindEditor拿起就用
wysihtml5自定义样式，因为这是个内核

基于wysihtml5制作富文本编辑器可以参考这里bootstrap-wysihtml5。

以上两个富文本编辑器都有过滤机制，你可以阅读文档了解一下便知道。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

解释负载平衡如何影响会话管理以及如何解决。Apr 29, 2025 am 12:42 AM

负载均衡会影响会话管理，但可以通过会话复制、会话粘性和集中式会话存储解决。1.会话复制在服务器间复制会话数据。2.会话粘性将用户请求定向到同一服务器。3.集中式会话存储使用独立服务器如Redis存储会话数据，确保数据共享。

说明会话锁定的概念。Apr 29, 2025 am 12:39 AM

Sessionlockingisatechniqueusedtoensureauser'ssessionremainsexclusivetooneuseratatime.Itiscrucialforpreventingdatacorruptionandsecuritybreachesinmulti-userapplications.Sessionlockingisimplementedusingserver-sidelockingmechanisms,suchasReentrantLockinJ

有其他PHP会议的选择吗？Apr 29, 2025 am 12:36 AM

PHP会话的替代方案包括Cookies、Token-basedAuthentication、Database-basedSessions和Redis/Memcached。1.Cookies通过在客户端存储数据来管理会话，简单但安全性低。2.Token-basedAuthentication使用令牌验证用户，安全性高但需额外逻辑。3.Database-basedSessions将数据存储在数据库中，扩展性好但可能影响性能。4.Redis/Memcached使用分布式缓存提高性能和扩展性，但需额外配