PTT數位生活區 / PHP

[請益] CKEditor XSS 問題

看板PHP作者 (ChaN)時間10年前 (2015/09/07 12:20), 10年前編輯推噓2(204)
留言6則, 4人參與, 最新討論串1/2 (看更多)
今天內文部分提供了 CKEditor,並且開方編輯 source 的權限 所以 user 是可以寫像 <script>alert(1);</script> 的語法 前台為了呈現其他編輯器的效果是不能用 htmlspecialchars 過濾的 該如何呈現 HTML 又過濾 xss 呢 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.251.121.168 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1441599621.A.DC2.html
09/07 13:06, , 1F
以前是用bbcode之類的限制,script、event都拿掉
09/07 13:06, 1F
09/07 13:08, , 2F
http://3wa.tw/url.php?id=309 ckeditor有內鍵的
09/07 13:08, 2F
※ 編輯: chan15 (49.214.163.226), 09/07/2015 13:11:34
09/07 13:13, , 3F
最簡單的方式就是自己寫 filter 啊..
09/07 13:13, 3F
09/07 23:19, , 4F
http://htmlpurifier.org/ 不曉得合不合你用
09/07 23:19, 4F
09/07 23:43, , 5F
addslashes($_POST)
09/07 23:43, 5F
09/07 23:43, , 6F
stripcslashes($record)
09/07 23:43, 6F
更多 chan15 的文章
文章代碼(AID): #1LxH25t2 (PHP)
討論串 (同標題文章)
以下文章回應了本文
完整討論串 (本文為第 1 之 2 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共2篇)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 chan15 的文章
文章代碼(AID): #1LxH25t2 (PHP)