4

ご挨拶、

CKEditor (javascript WYSIWYG エディター) を使用して、入力フィールドから XSS と不適切な html を防止しようとしています。

サーバー側でこのデータをどのようにフィルタリングする必要がありますか? 私が比較している 2 つのオプションは、PHP Tidy と HTML Purifier です。速度、セキュリティ、および有効なネスティングに興味があります。

編集:

HTML Purifier によると、Tidy は XSS を防止しません。したがって、最初にユーザー入力を渡すことを指定しましょう

strip_tags($input,'<img><a><li><ol><ul><b><br>');Tidyに渡す前に

4

1 に答える 1

4

HTML Purifier は、可能な範囲を超えて入力を制限しますstrip_tagsstrip_tags許可しているタグの属性から JavaScript を削除しません。HTML Purifier の使用を強くお勧めします。HTML Purifier は高速ではありませんが、通常、追加/編集の実行はビューよりも頻度が低いため、パフォーマンスはそれほど問題になりません。

于 2010-07-06T20:34:32.540 に答える