WYSIWYG-Textarea-Komponente Sicherheits
https://stackoverflow.com/questions/459408
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wirklich meine Frage hat mehr mit den serverseitigen Schrubben von html zu tun, die über die WYSIWYG-Formularkomponente akzeptiert wird. Im Moment bin ich zuzuneigen htmlpurifier.org der Bibliothek. Ich bin mit PHP strip_tags () Funktion an anderer Stelle. Jedermann hat einen Rat / preferences / Empfehlungen?
Lösung
strip_tags ist sehr verletzlich - Sie auch nichts tun könnte. HTMLPurifier ist wahrscheinlich so gut, wie es mit HTML-Reinigung wird. Wenn Sie wirklich das Thema Sicherheit ernst sind, dann sollten Sie HTML-Eingabe ganz verbieten, aber ich merke, das ist nicht immer eine Option.
Andere Tipps
Vergessen Sie nicht die on* Attribute wie <p onclick="alert('hi!');"> zu schrubben.
Dies kann einige Probleme verursachen.
