前台评论引入KindEditor,请教大家应该如何防止恶意代码的注入
KindEditor确实很不错,主要是使用够方便,操作友好.
昨晚根据需求对比了kindeditor,tinyeditor,ckeditor这三款html编辑器,
需求:字体加粗,字体倾斜,插入外部图片,插入表情.
放弃使用ck是因为大部分功能鸡肋了,是用不到,而且友好度和操作挺麻烦的,
tinyeditor是其中最轻量级,操作非常友好,而因为缺少了表情,也只好搁浅了.
其实不但是使用KindEditor,在前台引入各种编辑器给会员操作都应该注意哪些事项,
这是我当前已做的:
strip_tags(string,"<B>","<IMG>","<P>");//PHP过滤并允许部分标签,再把数据入库
还有其它需要注意的地方,请大家指教下.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(8)
楼上正解,推荐用HTML Purifier,http://htmlpurifier.org/
使用HTML Purifier
学习了
谢谢楼上各位的建议
前后台都要处理是肯定的。
还要处理特殊字符,比如/,?,之类的,这个可以用作跨站攻击
kindeditor不是有自带的吗???
“
htmlTags
指定要保留的HTML标记和属性。哈希数组的key为HTML标签名,value为HTML属性数组,"."开始的属性表示style属性。
数据类型:Object
”
这我晓得,可这个方法会对标签内的属性进行过滤吗?
引用来自#2楼“红薯”的帖子
不清楚 strip_tags 的作用,得防止在这些允许的标签上使用一些方法,例如
<img src="..." onmouseover="...."/> 之类的