После экранирования html-символов с помощью Santiize :: html () в CakePHP можно ли безопасно убирать символы, такие как * (), для работы анализатора уценки?

Question

Перед отображением сообщений пользователя я запускаю их, хотя Sanitize :: html (), чтобы экранировать все html. Но он избегает некоторых символов, которые используются для анализатора Markdown.

Вот что я хочу: Я тестирую эту уценку. Попробуйте нажав здесь

Вот что я получаю: Я тестирую эту уценку. Попробуйте [щелкнуть] (http://www.google.com& # 41 ; здесь

Так что мне интересно, можно ли убирать символы уценки или это оставит меня открытым для какой-нибудь эксплойты XSS?

Answer 1

Уценка немного сложнее, чем просто экранирование некоторых символов (для этого есть парсер ). Решением в этом случае было бы сначала запустить ввод через анализатор Markdown (я не уверен, что вы используете анализатор PHP markdown или что-то еще), затем через sanitizer.

Удачи!