富文本编辑器怎么做到防注入

Question

因为我做的富文本编辑器最终是输出html的 当我插入图片后 后端的PHP就不能使用htmlspecialchars进行转义 但是又要防止在前端有人输入恶意的script 这个有什么思路吗

Answer 1

重复问题 http://segmentfault.com/q/1010000000526064

Answer 2

楼上的处理方法只适合在小应用中，并且处理范围非常有限，简单一点就是过滤／转义，在这我就不多说了，其实方法是非常多。我今天主要讲关于架构方面的知识：你google一下，了解下 WAF(Web应用防火墙)，主要有两方面的：
软件角度的（推荐）：基于nginx的Web应用防火墙／百度的加速了／创新工厂的安全宝......
硬件角度的（不推荐）：NGAF
WAF可处理常见的Web安全有：XSS／SQL注入／跨站脚本／shell注入／会话劫持.....
在软件角度，git上面有不少这方面的开源项目，比如：https://github.com/loveshell/ngx_lua_waf
还有一些付费的云服务：安全宝／加速了......,可以了解下，确实很有意思，并不是简单的过滤转义。
个人认为：这本身属于网站架构方面的内容，是个全局的控制＝＝输入／输出过滤，这要后台和前台保持一致就可以了。