我在iframe上编写WYSIWYG编辑器宽度designMode ="on".编辑器工作正常,我将代码存储在数据库中.
在输出html之前我需要在服务器端使用php"清理"以避免跨站点脚本和其他可怕的事情.有关于如何做到这一点的某种最佳做法吗?什么标签可能有危险?
更新:错字修复,这就是你所看到的就是你得到的.没什么新鲜的 :)
最好的做法是只允许你知道的某些事情并不危险,并删除/逃避所有其他事情.有关此问题的讨论,请参阅Web上的自动恶意代码检测和删除(OWASP AntiSamy)(该库适用于Java,但原则适用于任何语言).
京公网安备 11010802040832号 | 京ICP备19059560号-6 