Seguridad del componente de área de texto WYSIWYG
-
19-08-2019 - |
Pregunta
Realmente mi pregunta tiene más que ver con el lavado del lado del servidor de html que se acepta a través del componente de formulario WYSIWYG. En este momento me estoy inclinando hacia el uso de la biblioteca htmlpurifier.org. Estoy usando la función php strip_tags () en otro lugar. ¿Alguien tiene un consejo / preferencias / recomendaciones?
Solución
strip_tags
es muy vulnerable, es mejor que no hagas nada. HtmlPurifier es probablemente tan bueno como se obtiene con la limpieza html. Si realmente toma en serio la seguridad, probablemente no debería permitir la entrada html por completo, pero me doy cuenta de que no siempre es una opción.
Otros consejos
No olvides eliminar los atributos on*
como <p onclick="alert('hi!');">
.
Esto puede causar algunos problemas.