HTML 정수기를 사용하여 사이트에 대한 링크를 중지 하시겠습니까?

Question

HTML purifier을 사용하여 공용 공개 WYSIWYG 편집기에서 오는 의심스러운 내용을 제거했습니다. 들어오는 HTML은 웹 사이트의 공개 부분에도 표시됩니다.

나는 링크를 허용했으며 일반 텍스트로 URL을 자동으로 링크합니다 (정수기 사용).

외부 링크를 허용 할 수있는 방법이 있지만 동일한 도메인에 대한 링크를 금지 하시겠습니까? 예 : 내 도메인은 www.example.com입니다.

http://www.google.com이 연결됩니다.

http://www.example.com/logout/은 연결되지 않습니다.

악의적 인 사용자의 간섭을 최소화하고자합니다. 방금 내 로그 아웃 링크에 POST 키/값 쌍이있는 폼 액션을 만들어서이 작업을 중단해야합니까?

감사합니다.

Answer 1

로그인/출력 양식은 항상 POST 전용이어야합니다.

확인 값은 걱정하지 마십시오. 보안 문제는 매우 중요합니다. 웹 서버의 상태를 변경하는 트랜잭션은 POST 요청이어야합니다. http://example.com/object?action=delete 또는 그 변형을 허용해서는 안됩니다. PHP는이 문제에있어 나쁜 습관을 조장하지만 언제나 하나 또는 다른 것을 사용하고 두 가지를 모두 허용해서는 안됩니다.

사용자가 WYSIWYG 편집기에 양식을 쓸 수 있으면 이보다 훨씬 큰 문제가 있습니다.

는, 내부 링크를 해제 URI.HostBlacklist를 사용하고 URI.MakeAbsolute을 설정해야하는, 원래의 질문에 대답하려면, 단지 항상 POST 전용해야 데이터를 표시 이외의 작업을 수행

http://htmlpurifier.org/live/configdoc/plain.html#URI.HostBlacklist