Question

Является ли htmlentities лучшим решением для предотвращения XSS в PHP?Также я хотел бы разрешить простые теги, такие как b, i, a и img.Каково было бы лучшее решение для реализации этого?Я рассматривал bbcode, но обнаружил, что если он не реализован должным образом, у меня тоже будет проблема с XSS.Что я должен делать?Приветствуется любая хорошая сторонняя библиотека.

РЕДАКТИРОВАТЬ:

Я только что попробовал очиститель HTML, и в этом случае не удалось. Просто посмотрите этот пример

Sarfraz · Answer 1 · 27 февраля 2011

Для этого я бы выбрал HTML Purifier , и да, вы также можете указать свои теги белого списка.

HTML Purifier - это стандартная библиотека HTML-фильтровнаписано на PHP.HTML Purifier не только удалит весь вредоносный код (более известный как XSS) с тщательно проверенным,
безопасным, но разрешающим белым списком , но и обеспечит соответствие ваших документов стандартам, чего можно достичь только с помощьювсестороннее знание спецификаций W3C.

Я знаю, что для этого существуют определенные функции в PHP языке , но я бы предпочел выделенное решение.

knittl · Answer 2 · 27 февраля 2011

взгляните на пользовательские языки разметки, такие как markdown (используется stackoverflow), reStructuredText , текстиль или аналогичные облегченные языки разметки

Kamil Szot · Answer 3 · 27 февраля 2011

Попробуйте использовать этот код (он допускает <i>, <b> и <del>):

<?php                                                                                                                                                                            

$html = '<b>Inline <del>context <div>No block allowed <great going </div></del></b>';                                                                                          

function escapeEveryOther(&$v, $k) {                                                                                                                                           
    if($k % 2 == 0) {                                                                                                                                                          
        $v = htmlspecialchars($v);                                                                                                                                             
    }                                                                                                                                                                          
}                                                                                                                                                                              

$parts = preg_split('`(</?(?:b|i|del)>)`is', $html, -1, PREG_SPLIT_DELIM_CAPTURE);                                                                                             
array_walk($parts, 'escapeEveryOther');                                                                                                                                        

$html = implode('', $parts);

и затем пропустите $html через HTMLPurifier , чтобы исправить несоответствующие открытия и закрытия тегов.

PHP предотвратить xss

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

PHP предотвратить xss

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов