Question

Мой сайт использует WYSIWYG-редактор для пользователей, чтобы обновлять свои учетные записи, вводить комментарии и отправлять личные сообщения.

Редактор (CKEditor) отлично подходит только для того, чтобы позволить пользователям вводить действительные данные, но я беспокоюсь о внедрении через TamperData или другими способами.

Как я могу контролировать это на стороне сервера?

Мне нужно внести в белый список определенные теги: <b><ul><ol><a><img><br>, будет ли это БЕЗОПАСНЫЙ подход к предотвращению XSS?

Sarfraz · Answer 1 · 08 июня 2010

Использование HTML Purifier :

HTML Purifier - это стандартная библиотека HTML-фильтров, написанная на PHP.HTML Purifier не только удалит весь вредоносный код (более известный как XSS) с тщательно проверенным, но все же разрешающим белым списком.

MANCHUCK · Answer 2 · 08 июня 2010

strip_tags станет вашим другом. Второй параметр позволяет передавать массив разрешенных тегов. strip_tags

PHP XSS Prevention Белый список

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

PHP XSS Prevention Белый список

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы