Javascript CKEditor XSS清洁_Javascript_Php_Ckeditor_Xss

Javascript CKEditor XSS清洁

javascript php ckeditor

Javascript CKEditor XSS清洁,javascript,php,ckeditor,xss,Javascript,Php,Ckeditor,Xss,我有一个web项目，允许用户使用CKEditor，这就是为什么我需要保护自己不受任何XSS的攻击。如何最大限度地降低被XSS“攻击”的风险我不知道这是否足够，我想没有： strip_tage(Input::get('text'), '<p><a><h1><h2>'); strip\u tage（输入：：get（'text'），“”）；所以问题是如何从服务器端的CKEditor中清除XSS，以及我在CKEditor端需要做什么，删除哪些插件（

我有一个web项目，允许用户使用CKEditor，这就是为什么我需要保护自己不受任何XSS的攻击。如何最大限度地降低被XSS“攻击”的风险

我不知道这是否足够，我想没有：

strip_tage(Input::get('text'), '<p><a><h1><h2>');

strip\u tage（输入：：get（'text'），“”）；

所以问题是如何从服务器端的CKEditor中清除XSS，以及我在CKEditor端需要做什么，删除哪些插件（当我删除源代码插件时，也许我也应该删除样式插件？？）？

使用

它是专门为清理HTML和修复无效标记而创建的，例如嵌套错误的标记或未缩放的特殊字符

无论从CKEditor中删除什么插件，恶意用户都可以完全绕过CKEditor并提交他们想要的任何字符串

带有

$allowed_tags

的

strip_tags

无法提供足够的XSS保护，因为脚本和样式可以嵌入到标签属性中，例如

href

，

onmouseover

，

onerror

，等等。还可以通过添加

id

和

class

属性来重用某些应用程序样式和脚本。

使用

它是专门为清理HTML和修复无效标记而创建的，例如嵌套错误的标记或未缩放的特殊字符

无论从CKEditor中删除什么插件，恶意用户都可以完全绕过CKEditor并提交他们想要的任何字符串

带有

$allowed_tags

的

strip_tags

无法提供足够的XSS保护，因为脚本和样式可以嵌入到标签属性中，例如

href

，

onmouseover

，

onerror

，通过添加

id

和

class

属性，还可以重用一些应用程序样式和脚本