javascript - 富文本编辑器怎么防止xss注入?

 xjw4478688 发布于 2022-11-30 11:53
  • xss
  • 注入
  • html
  • 编辑器

    • 如果为了防止xss注入过滤了html标签,富文本编辑器的功能就没有了,一起过滤了,如果留着html,又不能防xss注入。
    正常一般是怎么处理这个问题的???只过滤 特定标签???

    6 个回答

    • HTML Purifier是一个采用PHP编写的HTML过滤器,可以搭配WYSIWYG编辑器使用,过滤掉XSS恶意代码.

      <?php
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);
      2022-11-30 12:29 回答

    • 我觉得白名单就好,留着你要用的标签,其他全部过滤

      2022-11-30 12:29 回答

    • 你的富文本编辑器支持什么功能就不过滤,其他的过滤就行了呗。难道你收到一个p标签你还要区分他是用你的编辑器加的还是自己手动加的?

      2022-11-30 12:29 回答

    • 规定要用自己的一套新语法行不?

      2022-11-30 12:29 回答

    • 过滤掉js脚本就行了

      2022-11-30 12:29 回答

    • 入库的时候 转义为实体字符
      出库的时候还原。
      并过滤掉
      <script></script>
      javascript:xxx;
      这种

      2022-11-30 12:29 回答
    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有