在使用CakePHP';s Santiize::html()为使markdown解析器工作,取消像*()这样的scape字符安全吗?
在显示用户帖子之前,我通过Sanitize::html()运行它们以转义所有html。但是它逃避了标记解析器使用的一些字符 这就是我想要的: 我正在测试这个降价。试试这里 这就是我得到的: 我正在测试这个降价。试试[点击](;这里)在使用CakePHP';s Santiize::html()为使markdown解析器工作,取消像*()这样的scape字符安全吗?,cakephp,markdown,Cakephp,Markdown,在显示用户帖子之前,我通过Sanitize::html()运行它们以转义所有html。但是它逃避了标记解析器使用的一些字符 这就是我想要的: 我正在测试这个降价。试试这里 这就是我得到的: 我正在测试这个降价。试试[点击](;这里) 所以我想知道取消标记字符的转义是否可以,或者这会让我面临一些XSS漏洞吗?标记比仅仅转义一些字符要复杂一些(这是有解析器的原因)。在这种情况下,解决方案是先通过标记解析器运行输入(我不确定您是否使用了PHP标记解析器或其他什么),然后通过消毒剂 祝你好运!标记比仅仅
所以我想知道取消标记字符的转义是否可以,或者这会让我面临一些XSS漏洞吗?标记比仅仅转义一些字符要复杂一些(这是有解析器的原因)。在这种情况下,解决方案是先通过标记解析器运行输入(我不确定您是否使用了PHP标记解析器或其他什么),然后通过消毒剂
祝你好运!标记比仅仅转义一些字符要复杂一些(这是有解析器的原因)。这种情况下的解决方案是先通过标记解析器运行输入(我不确定是否使用PHP标记解析器或其他),然后通过消毒剂运行输入 祝你好运