我的网站使用所见即所得编辑器,供用户更新其帐户、输入评论和发送私有(private)消息。
编辑器(CKEditor)非常适合只允许用户输入有效的输入,但我担心通过 TamperData 或其他方式注入(inject)。
如何在服务器端控制它?
我需要将特定标签列入白名单:<b><ul><ol><a><img><br>
,这是防止 XSS 的安全方法吗?
最佳答案
使用HTML Purifier :
HTML Purifier is a standards-compliant HTML filter library written in PHP. HTML Purifier will not only remove all malicious code (better known as XSS) with a thoroughly audited, secure yet permissive whitelist.
关于PHP XSS 预防白名单,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2992674/