WYSIWYG-Textarea-Komponente Sicherheits
-
19-08-2019 - |
Frage
Wirklich meine Frage hat mehr mit den serverseitigen Schrubben von html zu tun, die über die WYSIWYG-Formularkomponente akzeptiert wird. Im Moment bin ich zuzuneigen htmlpurifier.org der Bibliothek. Ich bin mit PHP strip_tags () Funktion an anderer Stelle. Jedermann hat einen Rat / preferences / Empfehlungen?
Lösung
strip_tags
ist sehr verletzlich - Sie auch nichts tun könnte. HTMLPurifier ist wahrscheinlich so gut, wie es mit HTML-Reinigung wird. Wenn Sie wirklich das Thema Sicherheit ernst sind, dann sollten Sie HTML-Eingabe ganz verbieten, aber ich merke, das ist nicht immer eine Option.
Andere Tipps
Vergessen Sie nicht die on*
Attribute wie <p onclick="alert('hi!');">
zu schrubben.
Dies kann einige Probleme verursachen.