Fatal编程技术网
  • php/
  • Php 如何保护所见即所得免受XSS攻击

Php 如何保护所见即所得免受XSS攻击

php html

Php 如何保护所见即所得免受XSS攻击,php,html,xss,wysiwyg,Php,Html,Xss,Wysiwyg,我使用的是WYSIWYG编辑器,我试图允许安全的html属性,如 对于进一步保护我的代码,你们有什么建议?谢谢 编辑:显然我正在运行PHP,所以PHP解决方案是理想的。去掉所有可以包含代码的属性(on*,href=“javascript:*”),或者使用白名单来显示允许的属性。 function strip_tags_wysiwyg($string){ include_once '../includes/htmlpurifier-4.5.0/library/HTMLPurifier.a

我使用的是WYSIWYG编辑器,我试图允许安全的html属性,如
对于进一步保护我的代码,你们有什么建议?谢谢

编辑:显然我正在运行PHP,所以PHP解决方案是理想的。

去掉所有可以包含代码的属性(on*,href=“javascript:*”),或者使用白名单来显示允许的属性。 
function strip_tags_wysiwyg($string){
    include_once '../includes/htmlpurifier-4.5.0/library/HTMLPurifier.auto.php';
    $config = HTMLPurifier_Config::createDefault();
    $purifier = new HTMLPurifier($config);
    $clean_html = $purifier->purify($string);
    $clean_html=strip_tags($clean_html,"<a><address><em><strong><b><i><big><small><sub><sup><cite><code><img><ul><ol><li><dl><lh><dt><dd><br><p><table><th><td><tr><pre><blockquote><nowiki><h1><h2><h3><h4><h5><h6><hr>");

    return $clean_html;
}

<img src="x" onerror="alert(0)">