首頁猿問對富文本編輯器提交的結(jié)果過濾

對富文本編輯器提交的結(jié)果過濾

JavaScript

慕碼人8056858 2019-03-12 17:15:15

一般的富文本編輯器比如百度的ueditor，編輯后直接返回一段html代碼，為了防止xss,想問問大家如何過濾后入庫是比較好的解決方案？（前臺讀取后直接顯示html，比如這個問題本身就是用富文本編輯器提交的）目前知道可以用：富文本編輯器設(shè)置純文本粘貼（這個可能會造成用戶使用不方便，但sf的編輯器好像就是這么做的，超鏈接倒是保留了）一些類庫比如 Kses PHP HTML 過濾類設(shè)置要保留的標(biāo)簽和標(biāo)簽屬性大家有什么好的高效的做法嗎？

查看完整描述

5 回答

一只甜甜圈

TA貢獻(xiàn)1836條經(jīng)驗(yàn) 獲得超5個贊

純文本展貼是用來減少無效html代碼數(shù)量的，在防范XSS方面沒有任何作用?？蛻舳说娜魏蜫S代碼在攻擊者面前都是裸的

如果只需要常見的富文本編輯，不需要直接改動html代碼，那么可以考慮UBB code
如果必須直接支持html，可以找wordpress／drupal等開源項(xiàng)目的xss過濾器來用

反對回復(fù) 2019-04-13

阿晨1998

TA貢獻(xiàn)2037條經(jīng)驗(yàn) 獲得超6個贊

如果目的是防XSS，在前端防是防不住的，一定需要在服務(wù)端過濾。
例如曾經(jīng)人人網(wǎng)的日志編輯框使用的是tinymce，前端帶了過濾功能（轉(zhuǎn)義大法），于是他們竟然在服務(wù)端就沒過濾！前端只要把JS禁了，讓tinymce加載失敗，露出裸的textarea來，就可以隨便注入JS代碼了。

所以防這個，不管前端防了多嚴(yán)，服務(wù)端一定都要再做一次。

反對回復(fù) 2019-04-13