Я хочу предоставить HTML-редактор на своем сайте, но не хочу открывать себя для xss или других атак, которые поставляются с предоставлением пользовательского HTML. Это довольно похоже на то, что делает Stack Overflow. Как HTML проверяется / очищается здесь, так что информация о стилизации остается, в то время как другие, более опасные вещи (например, javascript, iframe […]
Я передаю HTML-код, созданный пользователем, в базу данных, и я пытаюсь убедиться, что никакого вредоносного кода не передается. Одним из шагов, которые я предпринимаю, является запуск кода через класс HTML_Safe груши для удаления уязвимой разметки. Однако я заметил, что атрибут имени поданных элементов удаляется. Разумеется, когда вы смотрите на исходный код, name является одним из […]