PHP Lang
  1. PHP Lang
  3. Как разрешить определенные теги html?
Intereting Posts
Как отключить или зашифровать «Просмотр источника» для моего сайта Почему PHP-функция «json_encode» применяется для неассоциативного массива с отсутствующим первым элементом, считает второй ключ как строку? Yii2 добавить / удалить строки в GridView Разрывы строк в контактной форме PHP Задержка после загрузки больших файлов с загрузчиком JQuery BlueImp Как связать значение, если я хочу, чтобы он принимал INT и NULL с PDO? Рекомендации по обработке глобальных ошибок в PHP? как сделать слайдер изображения во время цикла Круглое форматированное значение времени до ближайшего получаса PHPMailer AddStringAttachment с PDF Помещение пользовательского заголовка в собственную строку Как извлечь текст из изображения с помощью PHP Удаление элементов с помощью клавиш массива Вставка данных в базу данных с помощью Laravel 5 Случайный номер PHP

Как разрешить определенные теги html?

У меня есть текстовое поле, где пользователь может написать статью. Статья может содержать текст (жирный и курсив), ссылки и видеоролики YouTube. Как разрешить эти определенные теги html и по-прежнему отправлять безопасный код, предотвращающий xss?

Я бы использовал HTMLPurifier , чтобы вы только сохраняли HTML

  • Это действительно
  • и содержит только теги и атрибуты, которые вы выбрали, чтобы разрешить

Я должен добавить, что PHP предоставляет strip_tags() , но это не так хорошо (цитирование) :

Поскольку strip_tags() фактически не проверяет HTML, частичные или сломанные теги могут привести к удалению большего количества текста / данных, чем ожидалось.

Эта функция не изменяет никаких атрибутов в тегах, которые вы разрешаете использовать allowable_tags, включая атрибуты стиля и onmouseover, которые может оскорбительный пользователь может злоупотреблять при публикации текста, который будет показан другим пользователям.

Если вы ищете реальную защиту XSS, я предлагаю использовать HTMLPurifier . Сделать это самостоятельно довольно сложно, если не невозможно. И должен иметь ошибки (/ дыры) в нем.