后端开发|php教程
php,javascript
后端开发-php教程
一般的富文本编辑器比如百度的ueditor,编辑后直接返回一段html代码,为了防止xss,想问问大家如何过滤后入库是比较好的解决方案?(前台读取后直接显示html,比如这个问题本身就是用富文本编辑器提交的)
网站程序 源码查看工具,vscode怎么添加码云,ubuntu 重命名命令,tomcat安全漏洞,sqlite 偶然没,网页设计link,dede模板数据库安装,server ftp服务器,地区多选插件,前端特效 框架,央行网爬虫,php fseek,天津卫seo,springboot安装器,红酒手机网站模板免费下载,手机网页界面,感觉手机被模板控制了,万网备案后台管理账户,jquery弹出层页面,开源公文管理系统,微擎 淘客小程序lzw
目前知道可以用:
unity3d 短信收发源码,php 混淆 vscode,Mac 原生 ubuntu,Tomcat集成下载,sqlite在线备份,香港买免费服务器,锚点滚动插件,前端开发官网框架,魂斗罗的爬虫,php课程培训怎么样,网站推广 seo,源码资源网站,弹出的网页是空白的,后台数据列表展示模板,jsp web页面代码,后台管理系统折叠菜单源码,android引导程序下载lzw
富文本编辑器设置纯文本粘贴(这个可能会造成用户使用不方便,但sf的编辑器好像就是这么做的,超链接倒是保留了)
一些类库比如 Kses PHP HTML 过滤类设置要保留的标签和标签属性
html5手机斗地主源码,vscode 删除空白行,ubuntu 语音库,tomcat如何查询版本,python爬虫专业,php 日期格式转时间戳,江苏seo网站什么意思,导航网站织梦模板,报名系统模板lzw
大家有什么好的高效的做法吗?
回复内容:
一般的富文本编辑器比如百度的ueditor,编辑后直接返回一段html代码,为了防止xss,想问问大家如何过滤后入库是比较好的解决方案?(前台读取后直接显示html,比如这个问题本身就是用富文本编辑器提交的)
目前知道可以用:
富文本编辑器设置纯文本粘贴(这个可能会造成用户使用不方便,但sf的编辑器好像就是这么做的,超链接倒是保留了)
一些类库比如 Kses PHP HTML 过滤类设置要保留的标签和标签属性
大家有什么好的高效的做法吗?
纯文本展贴是用来减少无效html代码数量的,在防范XSS方面没有任何作用。客户端的任何JS代码在攻击者面前都是裸的
如果只需要常见的富文本编辑,不需要直接改动html代码,那么可以考虑UBB code
如果必须直接支持html,可以找wordpress/drupal等开源项目的xss过滤器来用
对@帕奇式 的“拿起就用”方案不敢苟同。
如果目的是防XSS,在前端防是防不住的,一定需要在服务端过滤。
例如曾经人人网的日志编辑框使用的是tinymce,前端带了过滤功能(转义大法),于是他们竟然在服务端就没过滤!前端只要把JS禁了,让tinymce加载失败,露出裸的textarea来,就可以随便注入JS代码了。
所以防这个,不管前端防了多严,服务端一定都要再做一次。
狠一点,就把 “” 转义掉。
稍微宽松一点,就把script、iframe等标签去掉。
这个问题的解决办法很简单
有多重方式一种是base64编码解码是一种
基本上就是转义,保持了原样输出,
过滤这块需要这样操作,增加一个方法preg_match url的 凡是不是本站的都替换掉
看了看百度的ueditor,只能说很多东西设计得不够自由和弹性。用关键字【过滤规则】也找不到在哪设置,所以还是建议不要用ueditor因为还不够成熟!
那建议你可以:
KindEditor拿起就用
wysihtml5自定义样式,因为这是个内核
以上两个富文本编辑器都有过滤机制,你可以阅读文档了解一下便知道。