gpt4 book ai didi

tinymce - htmlPurifier 不适用于 TinyMCE

转载 作者:行者123 更新时间:2023-12-01 10:03:10 25 4
gpt4 key购买 nike

我正在使用 htmlPurifier 来防止来自用户的 XSS 攻击,并且在输入 type="text"字段上一切正常。但是,当我尝试清理 tinyMCE 文本区域时,htmlPurifier 似乎不起作用,例如:

简单的输入文本字段

输入:

<script>alert("XSS")</script>Cleaning Test

输出:清洁测试

tinyMCE 文本区域

输入:

<script>alert("XSS")</script>

输出:<script>alert("XSS")</script>

我错过了什么吗?为什么 htmlPurifier 可以处理简单的输入文本,而 tinyMCE textarea 却不能?

Ps.: 魔术引号已关闭

最佳答案

我想我发现了问题。

tinyMCE 自动编码实体如下:

< into &lt;
> into &gt;
" into &quot;
& into &amp;

我尝试在 tinyMCE 上使用不同类型的 entity_encoding,但它们似乎都无法正常工作,所以我使用 PHP: html_entity_decode 来解码 tinyMCE 文本区域,然后我使用 htmlPurifier 来清理数据,现在一切正常。

希望其他人觉得这很有用。

关于tinymce - htmlPurifier 不适用于 TinyMCE,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13834456/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com