XSS 预防,Tidy 与 Purifier?
您好,
我正在尝试使用 CKEditor(一个 javascript WYSIWYG 编辑器)来防止输入字段中的 XSS 和不正确的 html。
我应该如何在服务器端过滤这些数据?我比较的两个选项是 PHP Tidy 和 HTML Purifier。我对速度、安全性和有效嵌套感兴趣。
编辑:
根据 HTML Purifier,Tidy 不能防止 XSS。因此,让我指定我首先通过
strip_tags($input,'
在传递给 Tidy 之前
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
HTML Purifier 将输入限制在
strip_tags
的范围之外。strip_tags
不会从您允许的标签的属性中剥离 JavaScript。我绝对推荐使用 HTML Purifier。 HTML Purifier 速度不快,但添加/编辑执行通常不如视图频繁,因此性能不成问题。HTML Purifier restricts the input beyond what
strip_tags
can.strip_tags
would not strip JavaScript from the attributes of the tags you are allowing. I definitely recommend using HTML Purifier. HTML Purifier is not fast, but add/edit executions are usually less frequent than views so performance is less of an issue.