javascript - 使用 htmlpurifier 禁止 jqte jQuery 文本编辑器中的脚本标签和事件监听器-6ren

javascript - 使用 htmlpurifier 禁止 jqte jQuery 文本编辑器中的脚本标签和事件监听器

转载作者：行者123 更新时间：2023-12-03 07:57:12

25

4

我正在使用 jqte 为 cms 的用户提供我为他们的内容编写了一些所见即所得的内容。为了公开输出内容，我使用 htmlPurifier，所以没有办法，编辑者会对网站的访问者造成伤害。

但是他们可以放置

<button onclick="alert('this sux')">klick me</button>

在文本区域中，下一个用户将找到一个工作按钮。

<script>evilcode</script>

甚至被执行。

有没有人在我之前处理过这个问题，并且可以在这里给我一个优雅的解决方案的提示？

最佳答案

我要冒险说你没有 htmlspecialchars()当您将以前提交的数据加载到表单中时，您应该在输出周围进行更改 - 不过，您应该这样做，因为它仍然是文本区域的文本。您所见即所得的文本将被解释为 HTML，但不要将其与实际的 HTML 混淆。 :)

作为安慰，请知道这种混淆非常常见 ( it keeps happening )，并且有很多很多人都遇到与您所描述的问题完全相同的问题。

让我们看一下工作流程以及可能出现问题的地方:

问题工作流程

当有人写<tag>时加载 WYSIWYG 到 WYSIWYG 字段中的富文本中，编辑器看到有人想要将 HTML <tag>进入消息。

当有人将粗体文本写入富文本时，编辑器会看到有人想要将 HTML <b>bold text</b> (或类似的)到消息中。

同时，在后台显示文本 <tag> <b>bold text</b> (或其他)被存储在文本区域中。为了将文本保留为 HTML 上下文中的文本，它使用 HTML 编码进行编码，无形地将其转换为 &lt;tag&gt; <b>bold text</b> .

但是，当按下提交按钮时，文本区域 ( <tag> <b>bold text</b> ) 的文本会发送到您的服务器，因为表单数据本身当然不是 HTML 编码的(它不是嵌入在 HTML 中) - 它只是一组键和值，并且您需要文本区域的值。

现在，当您在服务器端应用程序中构建 HTML 以再次加载消息以进行进一步编辑时，您希望字段的值进行 HTML 编码，因为您将该值放入 HTML 上下文中。您之前所做的是创建 <textarea><tag> <b>bold text</b></textarea> ，它将 HTML 放入 HTML 上下文中。基本上在所有浏览器中，这使得文本区域呈现值 <tag> <b>bold text</b> 。哎哟! (想象一下，如果有人将 </textarea> 作为其原始消息的一部分!)

不幸的是，所见即所得编辑器仍然擅长在那里显示您想要的内容，这让每个人都感到困惑。对于大多数用例，您甚至不会注意到差异，这就是这个错误如此普遍的原因。

但是，在构建页面的 HTML 时，您实际上想要构建 <textarea>&lt;tag&gt; <b>bold text</b></textarea> 。这使得文本区域呈现值 <tag> <b>bold text</b> - 这正是您想要的。

您的Current Solution ，以及为什么它会崩溃

您当前拥有的解决方案通过htmlspecialchars_decode()运行提交的文本。，这变成 <tag>进入<tag> ，从而让 HTML Purifier 消除它。您不再需要担心<tag>被解释为 <tag>在所见即所得的背景下。

但是，不幸的是，您有两个问题:

1) 如果 HTML Purifier 不剥离标签，人们将无法再提交有关标签的消息。根据您的文本区域的用例，这可能不是问题。也许您不希望人们能够提交 HTML 消息，例如 If you're making your own website, you can use <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.2.6/jquery.js" language="javascript"> instead of hosting the jquery.js yourself - 使用您当前的解决方案，类似的消息将被清理为 If you're making your own website, you can use instead of hosting the jquery.js yourself通过 HTML Purifier。

2) 危险得多，人们仍然可以攻击你!尝试编写文本 <script>alert(1);</script>进入你的编辑器(这样编辑器就会看到你想要提交的 HTML &lt;script&gt;alert(1);&lt;/script&gt; )并点击提交。您的解决方案会将其变成 <script>alert(1);</script> ，您将其放入 <textarea> 中然后不幸的是你又回到了第一个方向。

实际解决方案

删除您的htmlspecialchars_decode()解决方案(但继续净化!)，而是输入 htmlspecialchars()围绕你的输出。您的所见即所得仍然有效，并且您将不再绕过 HTML Purifier 的清理。

关于javascript - 使用 htmlpurifier 禁止 jqte jQuery 文本编辑器中的脚本标签和事件监听器，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34752446/

25

4

0

文章推荐： javascript - 重新加载页面时下拉字段不正确

文章推荐： javascript - Electron 文件结构和构建应用程序

文章推荐： javascript - 每次单击按钮时都会迭代字符串中的每个字母

Powershell 脚本 - 脚本 - 我如何禁用它
我有 powershell 脚本。通过调度程序，我运行 bat 文件，该文件运行 PS1 文件。 BAT文件 Powershell.exe -executionpolicy remotesigned
Jquery - getScript 版本<脚本>..
什么更快？或者 $.getScript('../js/SOME.js', function (){ ... // with $.ajaxSetup({ cache: true });
linux - Bash 脚本 Shell 脚本
需要bash脚本来显示文件 #!/bin/bash my_ls() { # save current directory then cd to "$1" pushd "$1" >/dev/nu
ksh - Unix 脚本 - 需要提高性能的建议(shell 脚本)
我有一个输入 csv 文件，实际上我需要在输入文件中选择第 2 列和第 3 列值，并且需要转换两个值的时区(从 PT 到 CT)，转换后我需要替换转换后的时区值到文件。注意: 所有输入日期值都在太平
Bash 脚本 - 编写 init.d 脚本
我正在使用/etc/init.d/httpd 作为 init.d 脚本的模板。我了解文件中发生的所有内容，但以下行除外: LANG=$HTTPD_LANG daemon --pidfile=${pid
python - 将具有多个子选项的命令行选项传递给 python 脚本 -- shell 脚本
我有以下选择: python runscript.py -O start -a "-a "\"-o \\\"-f/dev/sda1 -b256k -Q8\\\" -l test -p maim\""
linux - 用于重命名文件的 Shell 脚本 - Shell 脚本
我对 shell 脚本完全陌生，但我需要编写一个 shell 脚本来检查文件是否存在，然后移动到另一个位置这是我写的: 一旦设备崩溃，我就会在/storage/sdcard1/1 中收集日志 #!/
linux - Bash 脚本 - Bash 脚本 - 编辑文件中文本的行
我正在使用 bash 脚本从文本文件中读取数据。数据: 04:31 Alex M.O.R.P.H. & Natalie Gioia - My Heaven http://goo.gl/rMOa2q
php - 按下按钮运行 php 脚本，该脚本会回显 javascript 脚本
这是单击按钮时运行的 javascript 的结尾 xmlObj.open ('GET', /ajax.php, true); xmlObj.send (''); } 所以这会执行根目录中的php脚本
linux - 重新激活 python 脚本 - Linux bash 脚本
关闭。这个问题需要debugging details .它目前不接受答案。编辑问题以包含 desired behavior, a specific problem or error, and th
python - Nodejs 脚本 fs.createReadStream 到 Python 脚本
我需要将文件转换为可读流以通过 api 上传，有一个使用 fs.createReadStream 的 Node js 示例。任何人都可以告诉我上述声明的 python 等价物是什么？例子 const
python - 从 shell 脚本 cron 调用 python 脚本
我有一个 shell 脚本 cron，它从同一目录调用 python 脚本，但是当这个 cron 执行时，我没有从我的 python 脚本中获得预期的输出，当我手动执行它时，我的 python 脚本的
javascript - 安全的 ajax 脚本(javascript 请求的 PHP 脚本)
如何使 XMLHttpRequest (ajax) 调用的 php 脚本安全。我的意思是，不让 PHP 文件通过直接 url 运行，只能通过脚本从我的页面调用(我不想向未登录的用户显示数据库结果，并
脚本 block 错误中的经典 asp 脚本 block 中的 javascript
我正在尝试添加以下内容我正在使用经典的 asp。但我不断收到的错误是“一个脚本 block 不能放在另一个脚本 block 内。”我尝试了此处的 document.write 技术:Javasc
php - 如何从一个 PHP 脚本(如批处理文件)中运行多个 PHP 脚本？
如何从另一个 PHP 脚本(如批处理文件)中运行多个 PHP 脚本？如果我了解 include 在做什么，我认为 include 不会起作用；因为我正在运行的每个文件都会重新声明一些相同的函数等。我想
html - 如何从 HTML5 脚本/文件/页面调用 Lua 脚本
我想创建具有动态内容的网页。我有一个 HTML 页面，我想从中调用一个 lua 脚本如何调用 lua 脚本？ ? ？从中检索数据？我可以做类似的事情吗: int xx = 0; xx
jquery - 表格行不会自动滚动。脚本 1 滚动，脚本 2 不滚动。为什么？
我删除了我的第一个问题，并重新编写了更多细节和附加 jSfiddle domos。我有一个脚本，它运行查询并返回数据，然后填充表。表中的行自动循环滚动。所有这些工作正常，并通过使用以下代码完成。然而
javascript - amp-script 未找到脚本哈希。 amp-脚本[脚本 ="hello-world"]
我尝试使用 amp 脚本，但收到此错误: “[amp-script] 脚本哈希未找到。amp-script[script="hello-world"].js 必须在元[name="amp-script
java - 从 Java 执行 Shell 脚本，具有读取操作的 Shell 脚本
我有一个读取输入的 Shell 脚本 #!/bin/bash echo "Type the year that you want to check (4 digits), followed by [E
arrays - Redis Lua 脚本 - 如何将数组作为参数传递给 nodejs 中的 Lua 脚本？
我正在从 nodejs 调用 Lua 脚本。我想传递一个数组作为参数。我在 Lua 中解析该数组时遇到问题。下面是一个例子: var script = 'local actorlist = ARGV

首页

博学

6Ren·AI

商城