php – 删除XSS攻击,同时仍允许html?
发布时间:2020-12-13 16:47:53 所属栏目:PHP教程 来源:网络整理
导读:好吧,现在我有一个两难的境地,我需要允许用户插入原始 HTML,但也阻止所有JS – 不仅仅是脚本标签,而是来自href等,我所知道的只是 htmlspecialchars($string,ENT_QUOTES,'UTF-8'); 但这也将有效标签转换为编码字符.如果我使用striptags,它也不起作用,因为它删
|
好吧,现在我有一个两难的境地,我需要允许用户插入原始
HTML,但也阻止所有JS – 不仅仅是脚本标签,而是来自href等,我所知道的只是
htmlspecialchars($string,ENT_QUOTES,'UTF-8'); 但这也将有效标签转换为编码字符.如果我使用striptags,它也不起作用,因为它删除标签! (我知道你可以允许标签,但事情是,如果我允许任何标签,例如< a>< / a>人们可以添加恶意JS. 有没有什么我可以做到允许HTML标签,但没有XSS注入?我已经计划了一个函数:xss()并设置了我的网站模板.它返回转义字符串. (我只需要帮助逃脱:)) 谢谢! 解决方法
相关:
Preventing XSS but still allowing some HTML in PHP
来自HTMLPurifier Docs的示例代码: require_once '/path/to/HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); $purifier = new HTMLPurifier($config); $clean_html = $purifier->purify($dirty_html); 您可以在xss(…)方法中将该代码用作参考. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |