所见即所得的编辑器安全问题(防止恶意输入)

我以一种创建表单的方式使用jWYSIWYG,并将其发布到数据库,并且想知道如何防止恶意用户尝试向框架中注入代码？

编辑器是否不需要括号(我通常会在发布过程中删除括号)以显示样式？

解决方法:

我遇到过类似的情况,并且已经开始在PHP后端上使用HTMLPurifier,这将阻止我能想到的每个攻击媒介.它易于安装,并允许您将元素和属性列入白名单.它还可以防止使用htmlentities时可能仍然存在的XSS攻击.

标签：codeigniter,wysiwyg,jwysiwyg,javascript,php
来源： https://codeday.me/bug/20191024/1917278.html