0
값을 HTML.ForbiddenElements으로 설정하여 HTML 태그를 입력하지 못하도록하는 방법. 당신이 HTML 정수기와 모든을 허용하려면HTMLPurifier의 모든 html 태그 방지
A
답변
1
, 가장 쉬운 방법은한다고는 화이트리스트 HTML.Allowed보다는 철저한 블랙리스트에 시도로 하늘을 설정할 수 있습니다. (일반적으로 난 도망 블랙리스트에서 머물 당신이 정말로 다른 옵션이없는 경우를 제외하고 접근 것이 좋습니다 것 말하기 - 블랙리스트에 항상 뭔가를 그리워 할 수있는 기회가있다.)
그러나을 :
HTML 정수기는 도구입니다 의 경우 HTML을 허용하도록 특별히 설계되었습니다. 그렇지 않으면 기회가되는 것은 단순히 계산상의 오버 헤드이며 이익을 얻지는 못합니다.
는 대조 :
아마도 대신 htmlspecialchars(strip_tags(...), ENT_QUOTES, 'your-encoding-goes-here')를 시도? 그것은 당신이 성취하고자하는 것에 대해보다 빠르고 안전해야합니다.
관련 문제
- 1. 깔끔한 HTML 태그 추가 방지
- 2. CKEditor 필터링 방지 Radiant 태그 (유효하지 않은 HTML 태그)
- 3. Javascript : replace() html 태그 외 모든 태그
- 4. HTMLPurifier의 특정 접두사가있는 클래스 허용
- 5. JsHtmlSanitizer로 모든 html 태그 제거
- 6. GetSafeHtmlFragment 모든 HTML 태그 제거
- 7. 태그 사이에 모든 HTML 긁힘
- 8. Subversion에서 태그 삭제 방지
- 9. 오디오 태그 방지 버퍼
- 10. 해시 태그, 원시 URL 방지
- 11. 방지 HTML 요소는
- 12. Markdown : 표준 HTML 범위 태그를 감싸는 단락 태그 방지
- 13. XML 태그 HTML 태그
- 14. 모든 인라인 CSS 및 html 태그 캐치
- 15. 텍스트에서 모든 HTML 태그 + 내용을 제거하십시오.
- 16. SED 링크를 제외한 모든 HTML 태그 제거
- 17. HTML 태그 내의 모든 것을 추출합니다.
- 18. 안드로이드 fromhtml은 내가 아는 모든 HTML 태그
- 19. CKEditor 4의 모든 허용 HTML 태그 목록
- 20. html 태그 내의 모든 공백을 preg_replace로 자르십시오.
- 21. 모든 HTML 태그 숨기기 (제거하지 않음) - Jquery
- 22. 모든 HTML 닫히지 않은 IMG 태그 닫기
- 23. PHP를 사용하여 본문의 모든 html 태그 추출
- 24. HTML 태그
- 25. html 페이지 종료 방지
- 26. html 요소로드 방지/연기
- 27. sed가있는 html 파일에서 지정된 html 태그 사이의 모든 링크를 추출하십시오.
- 28. html 태그
- 29. HTML 태그
- 30. HTML 태그
설명을 위해 제목과 HTMLPurifier에'$ this-> title = strip_tags ($ this-> title); '를 사용합니다. strip_tags에서 올바르게 사용 했습니까? 또는 htmlspecialchars에서 사용해야합니까? – msoa
@msoa : 일반적으로'strip_tags()'만이 안전하지 않기 때문에'htmlspecialchars (strip_tags())'를 사용해야합니다. 즉 누군가 진정으로 사이트를 해킹하고 싶다면'strip_tags()'를 우회 할 수 있습니다. 물론'$ this-> title '이 출력되기 전에 이미 html로 이스케이프 처리 된 상태라면, 실제로 그렇게하지 않아도됩니다 (실제로는 안됩니다). 그러나 설정에 대해 더 많이 알지 못하면, 나는 조언 할 수 없다. 행운을 빕니다! :) – pinkgothic