[请益] CKEditor XSS 问题 chan15 PTT批踢踢实业坊

[请益] CKEditor XSS 问题

楼主: chan15 (ChaN) 2015-09-07 12:20:18

今天内文部分提供了 CKEditor，并且开方编辑 source 的权限
所以 user 是可以写像 <script>alert(1);</script> 的语法
前台为了呈现其他编辑器的效果是不能用 htmlspecialchars 过滤的
该如何呈现 HTML 又过滤 xss 呢

作者: shadowjohn (转角遇到爱) 2015-09-07 13:06:00

以前是用bbcode之类的限制，script、event都拿掉http://3wa.tw/url.php?id=309 ckeditor有内键的

作者: gname ((′口‵)↗︴<><...<><) 2015-09-07 13:13:00

最简单的方式就是自己写 filter 啊..

作者: tka (tka) 2015-09-07 23:19:00

http://htmlpurifier.org/ 不晓得合不合你用

作者: poiuy999 (Nines) 2015-09-07 23:43:00

addslashes($_POST)stripcslashes($record)

继续阅读

[请益] 关于wordpress上传rachel0505 [请益] 数据库连线数是否过多问题unicle Re: [请益] 如何实现如wp般的固定网址？chippclass Re: [请益] 多个array 排序很慢IhaveASecret [请益] 储存常用表单内容lk2986706we [请益] 扫描目录并可选择上传jenny81510 [请益] 如何实现如wp般的固定网址？wonderow [请益] 多个array 排序很慢CuCuGi [心得] Elastica Search 工具Linux Re: [请益] 请问php和javascript的function如何分辨NioTW

Contact Us: admin [ a t ] ucptt.com