7
如何防止像TinyMCE這樣的所見即所得編輯器中的惡意輸入?TinyMCE安全問題:您如何防止惡意輸入?
我有一個系統的用戶不是「精通技術」(所以沒有大規模殺傷性武器),需要一個將其內容發佈到數據庫中的富文本編輯器。
我很擔心腳本攻擊和惡意輸入代碼。
A
回答
14
如果你只想要安全的HTML,那麼你應該使用HTML Purifier。如果你想防範XSS和阻止所有的HTML,那麼你應該使用$var=htmlspcialchars($var,ENT_QUOTES);
-4
0
你無法阻止客戶端該輸入。您可以添加一些東西來阻止(或嘗試),但提交惡意代碼通常是微不足道的。你需要用PHP進行消毒。
總是顯示它之前總是逃避用戶提交的內容(htmlentities將通常照顧你)。
如果你想要提交HTML的能力(如你所說你想要所見即所得),那麼你需要白名單清理提交的HTML。當我說白名單時,我的意思是標籤名稱和屬性。
我沒那麼熟悉笨,但我沒有找到this它看起來像它可以做你想做的......
相關問題
- 1. 這種技術如何防止惡意輸入?
- 2. 防止惡意覆蓋JQuery
- 3. 防止惡意Flash廣告
- 4. 如何防止SQL注入和其他安全問題PostgREST?
- 5. 防止iframe的安全問題
- 6. 如何安全地測試注入網站的惡意代碼?
- 7. 防止惡意軟件javascript執行
- 8. 防止惡意的外部腳本
- 9. 防止惡意請求-DOS攻擊
- 10. 如何防止TinyMCE的
- 11. 如何防止tinymce從輸入中剝離空標籤?
- 12. 如何防止tinymce從輸入元素中剝離'style'屬性?
- 13. 防止惡意軟件從USB傳輸到計算機
- 14. 如何防止空輸入?
- 15. WordPress的安全惡意軟件
- 16. 如何防止網頁表單中的惡意代碼?
- 17. 如何防止惡意代碼撥打我的javascript
- 18. ACM ICPC Online Judge如何防止惡意攻擊?
- 19. 如何防止在ASP.NET中惡意文件執行
- 20. 如何防止V8中的惡意JavaScript(使用Python)
- 21. 如何防止網站內的惡意代碼?
- 22. 如何防止從Postgres功能惡意返回數據?
- 23. ViewModels如何防止惡意數據庫更改?
- 24. 如何防止在Node.js中執行惡意* .js腳本
- 25. 如何檢測惡意腳本並防止註冊?
- 26. 如何防止惡意使用jQuery post handler?
- 27. 如何防止聊天中的長輸入按鈕問題
- 28. 如何在Ruby中安全地處理來自TinyMCE的輸入?
- 29. 強參數如何防止用戶將惡意代碼插入到表單中?
- 30. 如何防止惡意注入php的「exec」參數(webhook - > bash腳本)
適用於HTML淨化器。工作得很好,可以讓您在單個標籤甚至單個屬性級別自定義您想要的和您想要的 – nico 2010-06-15 21:25:32