Javascript CKEditor XSS清洁
我有一个web项目,允许用户使用CKEditor,这就是为什么我需要保护自己不受任何XSS的攻击。如何最大限度地降低被XSS“攻击”的风险 我不知道这是否足够,我想没有:Javascript CKEditor XSS清洁,javascript,php,ckeditor,xss,Javascript,Php,Ckeditor,Xss,我有一个web项目,允许用户使用CKEditor,这就是为什么我需要保护自己不受任何XSS的攻击。如何最大限度地降低被XSS“攻击”的风险 我不知道这是否足够,我想没有: strip_tage(Input::get('text'), '<p><a><h1><h2>'); strip\u tage(输入::get('text'),“”); 所以问题是如何从服务器端的CKEditor中清除XSS,以及我在CKEditor端需要做什么,删除哪些插件(
strip_tage(Input::get('text'), '<p><a><h1><h2>');
strip\u tage(输入::get('text'),“”);
所以问题是如何从服务器端的CKEditor中清除XSS,以及我在CKEditor端需要做什么,删除哪些插件(当我删除源代码插件时,也许我也应该删除样式插件??)?使用
它是专门为清理HTML和修复无效标记而创建的,例如嵌套错误的标记或未缩放的特殊字符
无论从CKEditor中删除什么插件,恶意用户都可以完全绕过CKEditor并提交他们想要的任何字符串
带有$allowed_tags
的strip_tags
无法提供足够的XSS保护,因为脚本和样式可以嵌入到标签属性中,例如href
,onmouseover
,onerror
,等等。还可以通过添加id
和class
属性来重用某些应用程序样式和脚本。使用
它是专门为清理HTML和修复无效标记而创建的,例如嵌套错误的标记或未缩放的特殊字符
无论从CKEditor中删除什么插件,恶意用户都可以完全绕过CKEditor并提交他们想要的任何字符串
带有$allowed_tags
的strip_tags
无法提供足够的XSS保护,因为脚本和样式可以嵌入到标签属性中,例如href
,onmouseover
,onerror
,通过添加id
和class
属性,还可以重用一些应用程序样式和脚本