1
loadinger 2020-02-07 11:03:45 +08:00 1
好像有个 strip_tags 之类的方法吧 ,默认是所有 html 标签都过滤了,好像有第二个还是第三个参数可以带不过滤的白名单标签。
如果不过滤,就会存在 css javascript 的安全性问题吧。 |
3
xiwangzishi 2020-02-07 11:39:54 +08:00 2
PHP 的话推荐使用 http://htmlpurifier.org/
|
4
ClericPy 2020-02-07 11:54:56 +08:00 1
提交前检验只能防君子不能防小人(模拟个请求就绕过去了)
后端简单的做个定向 escape 就好了, 不过我后端是 Python 的, 先解析 dom 然后拿到定向的几个节点强制 escape 就完事了 |
5
hantsy 2020-02-07 13:54:00 +08:00 1
提交的只是 HTML 内容而已,真正控制显示才是重要。现在一般的框架由于安全考虑都不允许显示 HTML 内容,会直接 Escape。
|
6
loadinger 2020-02-10 10:01:09 +08:00 1
@IDCFAN 只要有白名单,就一定 要再次过滤里面的 css 和 js,切记。正如有人说到的,htmlpurifier.org
|