我的网站使用WYSIWYG编辑器,用户可以更新帐户,输入评论和发送私信。
编辑器(CKEditor)非常适合只允许用户输入有效输入,但我担心通过TamperData或其他方式注入。
如何在服务器端控制它?
我需要将特定标签列入白名单:<b><ul><ol><a><img><br>,这是一种防止XSS的安全方法吗?
答案 0 :(得分:7)
使用 HTML Purifier :
HTML Purifier符合标准 用PHP编写的HTML过滤器库。 HTML Purifier不仅会删除所有内容 恶意代码(更好地称为XSS) 经过全面审核,安全无缺 允许的白名单。
答案 1 :(得分:0)
strip_tags将成为你的朋友。第二个参数允许您传入允许的标记数组 strip_tags