1
저는 HTML 정수기 http://htmlpurifier.org을 사용하여 WYSIWYG 편집기에서 내용을 필터링하기 시작했습니다. 콘텐츠는 동일한 그룹의 사용자 또는 다른 사용자에게 다시 표시됩니다. 시스템에 다른 그룹이 있으며 데이터 무결성이 매우 중요합니다.HTML 정수기 필터 인바운드 또는 아웃 바운드 또는 둘 다?
나는 PHP를 사용하고 있으며 컨텐츠는 MySQL 데이터베이스에 저장되어있다.
HTML Purifier는 많은 프로세서 성능을 사용하므로 인바운드 콘텐츠에만 사용하고 필터없이 데이터베이스에서 바로 아웃 바운드 콘텐츠를 표시하고 싶습니다. 그것은 그것이 안전해야하므로 필터링되었습니다 간단하게 들리지만, 나는 100 % 확실하지 않다, 그것은 안전한가요?
수신 허용 목록 인 '[스타일], strong, em, u, h1, h2, h3, h4, h5, h6, li, ol, ul, span [스타일], div [스타일] , ins 'del'
EDIT :이 사이트는 http://htmlpurifier.org/docs/enduser-slow.html에서이를 수행 할 것을 제안했지만 여기서는 높은 중요성 때문에 몇 가지 의견을 원합니다.
이보고에서이 ... 당신이 스타일을 허용하여 무슨 일을하는지 확인, 또는 단지 fews CSS 스타일을 허용 OWASP의 [XSS Prevention Cheat Sheet] (https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet). – Adi