XSS 预防,Tidy 与 Purifier?

发布于 2024-09-06 03:10:43 字数 385 浏览 11 评论 0 原文

您好,

我正在尝试使用 CKEditor(一个 javascript WYSIWYG 编辑器)来防止输入字段中的 XSS 和不正确的 html。

我应该如何在服务器端过滤这些数据?我比较的两个选项是 PHP Tidy 和 HTML Purifier。我对速度、安全性和有效嵌套感兴趣。

编辑:

根据 HTML Purifier,Tidy 不能防止 XSS。因此,让我指定我首先通过

strip_tags($input,'

  • Greetings,

    I'm trying to prevent XSS and improper html from input fields using CKEditor (a javascript WYSIWYG editor).

    How should I filter this data on the server side? The two options I'm comparing are PHP Tidy and HTML Purifier. I'm interested in speed, security, and valid nesting.

    Edit:

    According to HTML Purifier, Tidy does not prevent XSS. So, let me specify that I would first pass the user input through

    strip_tags($input,'<img><a><li><ol><ul><b><br>'); before passing to Tidy

    如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

    扫码二维码加入Web技术交流群

    发布评论

    需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

    评论(1

    余生再见 2024-09-13 03:10:43

    HTML Purifier 将输入限制在 strip_tags 的范围之外。 strip_tags 不会从您允许的标签的属性中剥离 JavaScript。我绝对推荐使用 HTML Purifier。 HTML Purifier 速度不快,但添加/编辑执行通常不如视图频繁,因此性能不成问题。

    HTML Purifier restricts the input beyond what strip_tags can. strip_tags would not strip JavaScript from the attributes of the tags you are allowing. I definitely recommend using HTML Purifier. HTML Purifier is not fast, but add/edit executions are usually less frequent than views so performance is less of an issue.

    ~没有更多了~
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文