2
我的網站利用WYSIWYG編輯器爲用戶更新他們的帳戶,輸入評論和發送私人消息。PHP XSS預防白名單
編輯器(CKEditor)非常適合只允許用戶輸入有效輸入,但我擔心通過TamperData或其他方式注入。
如何在服務器端對此進行控制?
我需要將特定標籤列入白名單:<b><ul><ol><a><img><br>,這是防止XSS的安全方法嗎?
A
回答
7
HTML淨化器是用PHP編寫的符合標準的HTML 過濾庫。 HTML Purifier不僅會刪除所有 惡意代碼(更準確地稱爲XSS) ,而且還會完全審覈,安全但不受限制的白名單。
0
strip_tags將成爲你的朋友。第二個參數可以讓你在允許標記數組傳遞 strip_tags
相關問題
- 1. XSS預防的URI協議白名單?
- 2. XSS預防PHP
- 3. Javascript XSS預防
- 4. XSS預防playframework1.2.4
- 5. Magento Xss預防
- 6. Struts XSS預防 - 防止GET XSS
- 7. xss預防與ckeditor
- 8. PHP防止xss
- 9. 白名單,防止在C#中使用WMD控制XSS
- 10. Ruby on Rails和XSS預防
- 11. 用PHP防止XSS
- 12. 避免XSS漏洞 - 白名單?
- 13. 使用.htaccess預防XSS攻擊
- 14. 開源的XSS預防腳本
- 15. XSS預防,整潔vs淨化器?
- 16. 預防XSS攻擊的新方法
- 17. PHP防止SQL注入/ XSS
- 18. ESAPI for XSS預防不起作用
- 19. Apache Commons StringEscapeUtils vs JSoup XSS預防?
- 20. 爲何XSS預防不足ValidateRequest =「true」?
- 21. 以正確的方式預防XSS
- 22. outputStream寫一個byteArray - XSS預防
- 23. GWT干擾XSS預防措施
- 24. 防止XSS攻擊
- 25. .NET HTML白名單(反xss /跨站腳本)
- 26. 防止DOM XSS
- 27. 防病毒白名單的痛苦
- 28. 如何防止IFraming帶白名單
- 29. 在php中的白名單
- 30. 用strip_tags()防止XSS?
使用我自己的白名單對strip_tags進行此操作是否有優勢? – pws5068 2010-06-07 20:15:02
其實,我在這裏找到了我的答案:http://htmlpurifier.org/comparison 謝謝你的幫助。 – pws5068 2010-06-07 20:18:05
@ pws5068:歡迎您:) – Sarfraz 2010-06-07 20:19:37