程序员经验分享-hwhale

PHP XSS 预防白名单

2024-04-24

我的网站使用所见即所得编辑器,供用户更新帐户、输入评论和发送私人消息。

编辑器(CKEditor)非常适合只允许用户输入有效的输入,但我担心通过 TamperData 或其他方式注入。

我如何在服务器端控制这个?

我需要将特定标签列入白名单:<b><ul><ol><a><img><br>,这是防止 XSS 的安全方法吗?


Use HTML 净化器 http://htmlpurifier.org/:

HTML Purifier 是一个符合标准的 用 PHP 编写的 HTML 过滤器库。 HTML Purifier 不仅会删除所有 恶意代码(更广为人知的名称是 XSS) 经过彻底审核,安全可靠 允许的白名单。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

php

validation

Xss

wysiwyg

PHP XSS 预防白名单 的相关文章

  • 尝试利用?

    我看到我的 nopCommerce 网站记录了以下搜索 ADw script AD4 alert 202 ADw script AD4 我有点好奇他们想要完成什么 我搜索了一下 似乎是ADw script AD4 以 UTF7 编码为

  • /etc/php5/conf.d 文件夹中的 .ini 文件有什么用?

    我知道 ini 文件位于 etc php5 cli与 PHP 的 CLI 使用有关 文件位于 etc php5 fpm是关于 PHP 的 FastCGI FPM 方面 但是位于以下位置的 ini 文件又如何呢 etc php5 conf d

  • 针对 Woocommerce 中多个产品类别计数的 ajax 添加到购物车的 JS 警报

    在 Woocommerce 中 当达到特定产品类别的购物车中的产品的特定数量时 我尝试显示 JavaScript 甜蜜警报 并在达到二级类别的产品的特定数量时显示另一个警报 商品通过 AJAX 添加到购物车 这就是我想使用 JavaScri

  • php中有指针吗?

    这段代码是什么意思 这就是你在 php 中声明指针的方式吗 this gt entryId entryId PHP 中的变量名称以 开头 因此 entryId 是变量的名称 this是PHP面向对象编程中的一个特殊变量 它是对当前对象的引用

  • CURL请求问题

    我正在尝试验证 paypal pdt 信息 我生成了模型表单并提交了它 IT 部门也开始工作并返回了信息 我尝试了同样的事情来发出卷曲请求 但我的当前请求对我来说返回空白 我的模型形式

  • Codeigniter 中的 HTML 格式的电子邮件

    如何在 codeigniter 中发送格式化的电子邮件 我有这段代码 可以很好地发送电子邮件 但它没有按应有的方式格式化它 您可以看到显示收到电子邮件的图片 function email sender this gt load gt hel

  • PHP 命名空间 - 提升一个级别?

    示例1 命名空间 Inori Test 主测试类 示例2 命名空间 Inori Test SubTest SubTest 类扩展了 问题 有没有办法快速提升命名空间的级别 以便 SubTest 可以扩展 MainTest 就像是 MainT

  • 使用PHP获取http url参数而不自动解码

    我有一个像这样的网址 test php x hello world y 00h 00e 00l 00l 00o 当我将它写入文件时 file put contents x txt GET x gt hello world file put

  • 使用 PHP Mcrypt 加密并使用 MySQL aes_decrypt 解密?

    是否可以使用 PHP 加密数据mcrypt并用MySQL在数据库中解密AES DECRYPT 目前 我正在使用RIJNDAEL 128 for mcrypt关于 PHP 我还确保数据库中的加密字段具有数据类型blob Yet AES DEC

  • 为什么 getcwd() 在 __destruct() 中返回 / ?

    我刚刚注意到 如果在 destruct 魔术函数中调用 getcwd 返回 而在任何其他方法中它返回预期路径 你对此有解释吗 这是一种 SAPI 行为 脚本关闭期间调用的析构函数已发送 HTTP 标头 脚本关闭阶段的工作目录可能与某些 SA

  • 如何更改联系表单 7 动态重定向 URL - WordPress

    我正在为我的一个客户建立一个网站 他们希望在他们的网站中添加如下功能 当人们点击下载链接时 会出现一个表格 联系表格 7 访客输入详细信息后 它将重定向到下载链接 通过对联系表单 7 使用以下附加设置 我可以在表单提交后重定向到新页面 on

  • 如何在WAMPServer中启用或安装PHP的mysql_xdevapi扩展来安装数据表?

    我想在 laravel 中安装 DataTable 我使用了 WAMPServer 和我的 PHP version is 7 3 5 Mysql version 5 7 26 我按照互联网上的许多步骤操作 例如从 pecl php net

  • 为什么我不能将一个类划分为多个文件

    我正在尝试创建一个类TestClass它分为几个文件 我将它分成 3 个文件 其中第一个文件TestClassPart1 php已经开始上课了class TestClass 和最后一个文件TestClassPart3 php有班级的右括号

  • 寻找仅 php 电子邮件地址混淆器功能

    有没有仅适用于 php 的电子邮件地址混淆器功能 网上找到的大多数都是 JS 和 PHP 的混合体 这是我使用的几个函数 第一个使用 html 字符代码混淆电子邮件地址 function getObfuscatedEmailAddress

  • 从中间部分匹配完成建议elasticsearch

    我有一个名为搜索建议具有以下 search suggest type completion analyzer simple payloads true preserve separators false preserve position

  • 在 PHP 中自动加载类的最佳方法

    我正在开发一个项目 该项目具有以下文件结构 index php lib lib type class name php lib size example class php 我想自动加载类 class name 和 example clas

  • PHP - Paypal API 表单和安全性 [关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 我在我的电子商务应用程序上使用标准 php paypal 表单进行付款 我注意到只有 firebug 的人可以在通过 立即付款 按钮发

  • 在同一台服务器上运行两个 PHP 版本

    我在本地服务器上有两个项目 一个项目运行PHP5 6 另一个项目运行PHP7 0 现在可以根据项目启用这两个版本吗 我已经尝试添加AddHandler application x httpd php7 php在 htaccess 项目之一中

  • PHP - 如何查看服务器是否支持 TLS 1.0?

    我正在编写一个简单的检查器 您可以在其中输入一个 URL 该检查器将检查输入的 URL 是否使用 TLS 1 0 1 1 或 1 2 本质上 我想显示一条消息 Yoursite com 正在使用 TLS 1 0 建议禁用此功能 问题是 只有

  • 如何禁用 Aloha 编辑器工具栏?

    有没有办法像侧边栏一样禁用 Aloha 的 ExtJS 工具栏 Aloha settings modules aloha aloha jquery editables editable jQuery sidebar disabled tru

随机推荐

热门标签