作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在使用 htmlPurifier 来防止来自用户的 XSS 攻击,并且在输入 type="text"字段上一切正常。但是,当我尝试清理 tinyMCE 文本区域时,htmlPurifier 似乎不起作用,例如:
简单的输入文本字段
输入:
<script>alert("XSS")</script>Cleaning Test
输出:清洁测试
tinyMCE 文本区域
输入:
<script>alert("XSS")</script>
输出:<script>alert("XSS")</script>
我错过了什么吗?为什么 htmlPurifier 可以处理简单的输入文本,而 tinyMCE textarea 却不能?
Ps.: 魔术引号已关闭
最佳答案
我想我发现了问题。
tinyMCE 自动编码实体如下:
< into <
> into >
" into "
& into &
我尝试在 tinyMCE 上使用不同类型的 entity_encoding,但它们似乎都无法正常工作,所以我使用 PHP: html_entity_decode 来解码 tinyMCE 文本区域,然后我使用 htmlPurifier 来清理数据,现在一切正常。
希望其他人觉得这很有用。
关于tinymce - htmlPurifier 不适用于 TinyMCE,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13834456/
我是一名优秀的程序员,十分优秀!