1

本当に私の質問は、WYSIWYG フォーム コンポーネントを介して受け入れられる html のサーバー側のスクラブと関係があります。現在、私は htmlpurifier.org のライブラリを使用することに傾いています。他の場所で php strip_tags() 関数を使用しています。アドバイス/好み/推奨事項はありますか?

4

2 に答える 2

2

strip_tagsは非常に脆弱です。何もしない方がよいでしょう。HtmlPurifier は、おそらく html-cleansing と同じくらい優れています。セキュリティに真剣に取り組んでいるのであれば、おそらく html 入力を完全に許可しない方がよいでしょう。

于 2009-01-19T22:36:51.907 に答える
1

on*のような属性を削除することを忘れないでください<p onclick="alert('hi!');">。これにより、問題が発生する可能性があります。

于 2009-01-19T22:28:00.473 に答える