WYSIWYG textarea composant security
-
19-08-2019 - |
Question
En réalité, ma question concerne davantage le nettoyage du code HTML côté serveur accepté via le composant de formulaire WYSIWYG. En ce moment, je suis enclin à utiliser la bibliothèque de htmlpurifier.org. J'utilise la fonction php strip_tags () ailleurs. Quelqu'un a un conseil / préférences / recommandations?
La solution
strip_tags
est très vulnérable - vous pouvez aussi bien ne rien faire. HtmlPurifier est probablement aussi bon qu'il obtient avec le nettoyage HTML. Si vous êtes vraiment sérieux au sujet de la sécurité, vous devriez probablement interdire totalement les entrées HTML, mais je réalise que ce n’est pas toujours une option.
Autres conseils
N'oubliez pas de supprimer les attributs on*
tels que <p onclick="alert('hi!');">
.
Cela peut causer des problèmes.