在我的页面上显示用户输入

Question

在我们的应用程序中，我们允许用户使用所见即所得编辑器编写他们的简历，但它通常包含损坏我们页面的不良 HTML。在 iframe 中显示用户简介这样就不会影响页面的其余部分是个好主意吗？或者有更好的选择吗？

谢谢

Answer 1

您可能需要考虑限制您的用户使用 Markdown，就像 Stack Overflow 用于个人资料、答案等。

如需进一步阅读，您可能需要检查以下内容：

• Stack Overflow：PHP 的“安全”markdown 处理器?
• WMD：所见即所得 Markdown 编辑器
• PHP Markdown
• Stack Overflow：在服务器端运行 showdown.js 将 Markdown 转换为 HTML（在 PHP 中）

Answer 2

这不是一个坏主意，但为什么不在保存之前验证 html 呢？或者只是丑陋而已，并不坏？大多数编辑器都有 ie clean Office 格式。或者是业务要求允许输入 HTML？

但 iframe 是最安全的方法，我建议继续使用！

Answer 3

解决方案是过滤 HTML，以确保其“正常”：

• 有效的 HTML
• 仅包含您想要允许的标签
• 并且不会导致任何安全问题。

一个很棒的工具就是 HTMLPurifier （引用） ：

HTML Purifier 是一个符合标准的
用 PHP 编写的 HTML 过滤器库。
HTML Purifier 不仅会删除所有
恶意代码（更广为人知的名称是 XSS）
经过彻底审核，安全可靠
宽容的白名单，它也会
确保您的文件
符合标准

基本上，一旦用户输入了 HTML，在将其保存到数据库之前，您将通过 HTML Purifier 传递它，这将确保其有效，并删除您未指定为的任何标记/属性“允许”。