Wysiwyg TextArea 구성 요소 보안
-
19-08-2019 - |
문제
실제로 내 질문은 wysiwyg 양식 구성 요소를 통해 허용되는 HTML의 서버 측 스크럽 빙과 관련이 있습니다. 지금은 htmlpurifier.org의 라이브러리를 사용하는 것에 기대고 있습니다. 다른 곳에서 php strip_tags () 함수를 사용하고 있습니다. 누구든지 조언/선호도/권장 사항이 있습니까?
해결책
strip_tags
매우 취약합니다 - 당신은 아무것도하지 않을 수도 있습니다. htmlpurifier는 아마도 html-cleansing에서 얻는 것만 큼 좋을 것입니다. 보안에 대해 진지한 경우 HTML 입력을 완전히 허용하지 않아야하지만 항상 옵션이 아니라는 것을 알고 있습니다.
다른 팁
문지르는 것을 잊지 마십시오 on*
같은 속성 <p onclick="alert('hi!');">
. 이것은 약간의 문제를 일으킬 수 있습니다.
제휴하지 않습니다 StackOverflow