JavaScript-php程序防止xss注入的过滤和富文本编辑器是不矛盾啊?
如果我为了防止xss注入过滤了html标签,富文本编辑器的功能就没有了,一起过滤了,如果留着html,又不能防xss注入。
正常一般是怎么处理这个问题的???只过滤 特定标签???
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
如果我为了防止xss注入过滤了html标签,富文本编辑器的功能就没有了,一起过滤了,如果留着html,又不能防xss注入。
正常一般是怎么处理这个问题的???只过滤 特定标签???
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(1)
防止 xss 并不是过滤 html 标签而是转义它。
然后防止 xss 并不是仅仅转义了 html 标签就有用。
什么是 xss
如果你不想用框架,那你可以简单的把别人框架过滤 xss 的代码拔过来就可以了,xss 的基本原理很简单,但是款式很多,你自己考虑肯定不会全的。