php - WYSIWYG textarea 组件安全性

Question

真的，我的问题更多地与通过 WYSIWYG 表单组件接受的 html 的服务器端清理有关。现在我倾向于使用 htmlpurifier.org 的库。我在其他地方使用 php strip_tags() 函数。有人有建议/偏好/建议吗？

score 2 · Accepted Answer

strip_tags非常脆弱——你还不如什么都不做。HtmlPurifier 可能与 html-cleansing 一样好。如果您真的很重视安全性，您可能应该完全禁止 html 输入，但我意识到这并不总是一种选择。

score 1 · Accepted Answer

1

不要忘记擦掉on*像<p onclick="alert('hi!');">. 这可能会引起一些麻烦。

于 2009-01-19T22:28:00.473 回答

2 回答 2