前台评论引入KindEditor,请教大家应该如何防止恶意代码的注入

BENNEE 发布于 2011/03/01 23:13
阅读 2K+
收藏 1

KindEditor确实很不错,主要是使用够方便,操作友好.

昨晚根据需求对比了kindeditor,tinyeditor,ckeditor这三款html编辑器,

需求:字体加粗,字体倾斜,插入外部图片,插入表情.

放弃使用ck是因为大部分功能鸡肋了,是用不到,而且友好度和操作挺麻烦的,

tinyeditor是其中最轻量级,操作非常友好,而因为缺少了表情,也只好搁浅了.

其实不但是使用KindEditor,在前台引入各种编辑器给会员操作都应该注意哪些事项,

这是我当前已做的:

strip_tags(string,"<B>","<IMG>","<P>");//PHP过滤并允许部分标签,再把数据入库

还有其它需要注意的地方,请大家指教下.

加载中
0
xyz555
xyz555

用php的话首先这样的标签就一定要过滤"<?php ?>""<? ?>",其次“<script></script>”,"<style></style>".另外还要注意数据库的注入攻击。

楼上的要明白,客户端的安全措施都是可以绕过的,安全要在服务器端做足。

0
红薯
红薯

不清楚 strip_tags 的作用,得防止在这些允许的标签上使用一些方法,例如

<img src="..." onmouseover="...."/> 之类的

0
BENNEE
BENNEE

引用来自#2楼“红薯”的帖子

 

不清楚 strip_tags 的作用,得防止在这些允许的标签上使用一些方法,例如

<img src="..." onmouseover="...."/> 之类的

 直接上图,但<IMG>标签总得给允许,其中的动作该如何过滤.kindeidtor带这样的吗?

0
红薯
红薯

这我晓得,可这个方法会对标签内的属性进行过滤吗?

0
xu81.com
xu81.com

kindeditor不是有自带的吗???

htmlTags

指定要保留的HTML标记和属性。哈希数组的key为HTML标签名,value为HTML属性数组,"."开始的属性表示style属性。

数据类型:Object

 

0
xu81.com
xu81.com

前后台都要处理是肯定的。

还要处理特殊字符,比如/,?,之类的,这个可以用作跨站攻击

0
BENNEE
BENNEE

谢谢楼上各位的建议

0
mrz
mrz

学习了

0
1001
1001

使用HTML Purifier   

0
Roddy
Roddy

楼上正解,推荐用HTML Purifier,http://htmlpurifier.org/

返回顶部
顶部