我的网站使用所见即所得编辑器,供用户更新帐户、输入评论和发送私人消息。
编辑器(CKEditor)非常适合只允许用户输入有效的输入,但我担心通过 TamperData 或其他方式注入。
我如何在服务器端控制这个?
我需要将特定标签列入白名单:<b><ul><ol><a><img><br>
,这是防止 XSS 的安全方法吗?
Use HTML 净化器 http://htmlpurifier.org/:
HTML Purifier 是一个符合标准的
用 PHP 编写的 HTML 过滤器库。
HTML Purifier 不仅会删除所有
恶意代码(更广为人知的名称是 XSS)
经过彻底审核,安全可靠
允许的白名单。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)