当前位置：文江博客话题详情

使用 HTML Purifier 阻止指向自己网站的链接

发布于 2024-08-11 02:19:38 字数 524 浏览 4 评论 0原文

我使用了 HTML 净化器来清除来自我面向公众的所见即所得编辑器的任何可疑内容。传入的 HTML 也会显示在网站的公共部分。

我已允许链接，并且还自动以纯文本形式链接 URL（使用净化器）。

有没有办法允许外部链接，但禁止链接到同一域？例如，我的域名是 www.example.com

http://www.google.com 将被链接。

http://www.example.com/logout/ 将不会被链接。

我正在考虑尽量减少恶意用户的干扰。我是否应该将注销链接为带有 POST 键/值对的表单操作来阻止这种情况发生？

谢谢

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

为人所爱 2024-08-18 02:19:38

您的登录/退出表单应始终为 POST-only。

不用担心验证值，但这是一个非常重要的安全问题 - 任何更改网络服务器状态的事务都应该是 POST 请求。您绝对不应该允许 http://example.com/object?action=delete 或任何其变体。 PHP 鼓励在这方面采取不良做法，但您应该始终使用其中之一，并且绝不允许同时使用两者。

如果您的用户可以将表单写入所见即所得编辑器，那么您将遇到比这更大的问题。

要回答您最初的问题，要禁用内部链接，请使用 URI.HostBlacklist 并确保设置 URI.MakeAbsolute：

http://htmlpurifier.org/live/configdoc/plain.html#URI.HostBlacklist

回复收藏 0 原文

~没有更多了~