CKEditor XSS clean

Question

我有web項目，我允許用戶使用CKEditor，這就是爲什麼我需要從任何XSS保護我。我如何最大限度地減少被XSS「攻擊」的風險？

我不知道這是否會是不夠的，我想沒有：

strip_tage(Input::get('text'), '<p><a><h1><h2>'); 

所以問題是如何成爲XSS清潔從CKEditor的服務器端，我需要在CKEditor的側做什麼，哪些插件刪除（因爲我刪除了源代碼插件，也許我也應該刪除樣式插件??）???

Answer 1

使用HTML Purifier。

它是專爲消毒HTML和修復無效標記（如錯誤嵌套標記或非轉義特殊字符）而創建的。

無論您從CKEditor中刪除哪些插件都無所謂，惡意用戶可以完全繞過CKEditor並提交他們想要的任何字符串。

strip_tags與$allowable_tags不提供從XSS好足夠的保護，因爲腳本和樣式可以嵌入標籤的屬性，如href，onmouseover，onerror等，我們也可以通過重用一些應用樣式和腳本添加id和class屬性。