Php 使用detault标记的文本编辑器是否比其他文本编辑器更安全
我熟悉CKEditor,它将粗体文本转换为HTML标记。其他编辑器(如本网站上的编辑器)使用标记格式,我看到用星形包装的粗体文本,而不是像这样的HTML**文本** Sp这是否意味着在默认情况下,使用标记编辑器可以保护您不受该用户输入中任何XS的影响?我想是的,这是我想使用标记编辑器而不是ckeditor的主要原因,但我想再次检查 根据这一点: 根据以下内容,它不会在默认情况下转义XSS:Php 使用detault标记的文本编辑器是否比其他文本编辑器更安全,php,security,xss,ckeditor,markdown,Php,Security,Xss,Ckeditor,Markdown,我熟悉CKEditor,它将粗体文本转换为HTML标记。其他编辑器(如本网站上的编辑器)使用标记格式,我看到用星形包装的粗体文本,而不是像这样的HTML**文本** Sp这是否意味着在默认情况下,使用标记编辑器可以保护您不受该用户输入中任何XS的影响?我想是的,这是我想使用标记编辑器而不是ckeditor的主要原因,但我想再次检查 根据这一点: 根据以下内容,它不会在默认情况下转义XSS: 它不会在默认情况下转义XSS没有XSS安全的客户端编辑器。即使编辑器不允许您插入任意HTML,也很容易有人
它不会在默认情况下转义XSS没有XSS安全的客户端编辑器。即使编辑器不允许您插入任意HTML,也很容易有人绕过编辑器提交任意HTML
唯一安全的解决方案是清理服务器上的HTML。没有XSS安全的客户端编辑器。即使编辑器不允许您插入任意HTML,也很容易有人绕过编辑器提交任意HTML
唯一安全的解决方案是清理服务器上的HTML。完全正确。一个更好的问题是,与html条目相比,仅支持原始降价帖子是否能更好地保护您免受XSS攻击,我认为答案是肯定的。@Darien:不,您可以在降价中内联html,因此,您仍然需要解析标记以去除HTML。@Darien仅原始标记帖子意味着用户键入**粗体文本**,但它不会转换为粗体文本,它保持原样,读者将其作为**粗体文本**阅读?如果这就是你的意思,我认为这在视觉上不会很吸引人。它完全没有样式,而且有点毫无意义。我的意思是,您将八个字符的字符串**bold**存储在数据库中,并在文本编辑器中显示出来,等等。它唯一变为十一个字符的粗体是在视图组件显示它的最后。这与在输入时转换和存储11个字符的版本形成对比。。。因为当用户想要编辑他们的帖子时,表单提交现在需要接受<和>符号,并智能地选择何时转义它们,等等。一个更好的问题是,与html条目相比,仅支持原始降价帖子是否能更好地保护您免受XSS攻击,我认为答案是肯定的。@Darien:不,您可以在降价中内联html,因此,您仍然需要解析标记以去除HTML。@Darien仅原始标记帖子意味着用户键入**粗体文本**,但它不会转换为粗体文本,它保持原样,读者将其作为**粗体文本**阅读?如果这就是你的意思,我认为这在视觉上不会很吸引人。它完全没有样式,而且有点毫无意义。我的意思是,您将八个字符的字符串**bold**存储在数据库中,并在文本编辑器中显示出来,等等。它唯一变为十一个字符的粗体是在视图组件显示它的最后。这与在输入时转换和存储11个字符的版本形成对比。。。因为当用户想要编辑他们的帖子时,您的表单提交现在需要接受<和>符号,并智能地选择何时转义它们,等等。