Ich habe die letzten 2 Tage auf WMD und Markdown gearbeitet, und ich finde nicht die Lösung für Aktien Daten mit Sicherheit. Ich möchte, dass Benutzer in der Lage sind, HTML/XML < Code> (mit WMD) auf meiner Website zu veröffentlichen.WMD Markdown und Server-Seite
Momentan lagere ich Daten im Markdown-Format, aber wenn ich JavaScript deaktiviere, kann der Benutzer einfach XSS drücken. Wenn ich strip_tags
oder html_entities
alle Daten verliere ich den Benutzer HTML/XML < Code>. Wie kann ich es tun?
Meiner Meinung nach muss ich html_entities
nur den Code zwischen Pre/Pre, aber wie ?! Meine Daten befinden sich in Markdown.
Nachdem, was kann ich XSS verbieten tun Attribute:
<img src="javascript:alert('xss');" />
Dank für u Antworten. Ich kenne HTML-Reiniger und andere "Desinfektionsmittel". Das wirkliche Problem ist: Wie kann ich tun, um nicht das HTML-Grundlayout (von Wmd) und das HTML vom Benutzer eingefügt in
..
–Grundlayout> wenn es nur einige einfache Tags ist, können Sie diese als "erlaubt" für HTMLPurifier definieren, also werden sie nicht entfernt. Wenn Sie zulassen möchten, dass HTML zwischen speziellen Tags eingefügt wird, sehen Sie sich diese Antwort an: http://stackoverflow.com/questions/1155443/process-a-block-of-html-ignoring-content-within-specific-tags/ 1155530 # 1155530; Indem Sie das und HTMLPurifier mischen, könnten Sie zu dem gelangen, was Sie wollen? –