WYSIWYG textarea composant security
https://stackoverflow.com/questions/459408
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
En réalité, ma question concerne davantage le nettoyage du code HTML côté serveur accepté via le composant de formulaire WYSIWYG. En ce moment, je suis enclin à utiliser la bibliothèque de htmlpurifier.org. J'utilise la fonction php strip_tags () ailleurs. Quelqu'un a un conseil / préférences / recommandations?
La solution
strip_tags est très vulnérable - vous pouvez aussi bien ne rien faire. HtmlPurifier est probablement aussi bon qu'il obtient avec le nettoyage HTML. Si vous êtes vraiment sérieux au sujet de la sécurité, vous devriez probablement interdire totalement les entrées HTML, mais je réalise que ce n’est pas toujours une option.
Autres conseils
N'oubliez pas de supprimer les attributs on* tels que <p onclick="alert('hi!');">.
Cela peut causer des problèmes.
