WMDとMarkdownで過去2日間働いていますが、セキュリティのあるストックデータの解決策が見つかりません。私はあなたのサイトにHTML/XML <コード>(WMD付き)を投稿できるようにしたいと思います。WMD Markdownとサーバー側
現在のところMarkdown形式のデータを保管していますが、JavaScriptを無効にするとXSSを簡単に押すことができます。私がstrip_tags
またはhtml_entities
すべてのデータ私はユーザーHTML/XML <コードを失う>。どうしたらいいですか?
私の意見では、私はhtml_entities
のコードをpre/preの間に入れる必要がありますが、どうしたらいいですか?私のデータはMarkdownにあります。
<img src="javascript:alert('xss');" />
おかげで(私が?「それがなくてはならないのです」と言ってあえて)されます応答。私はhtml浄水器と他の "サニタイザー"を知っていました。実際の問題は、htmlの基本レイアウト(wmdによる)とユーザーが挿入したhtmlをloogに入れないためにはどうすればよいのですか?
..
–基本レイアウト>単純なタグの場合は、HTMLPurifierの "allowed"彼らは取り除かれません。特別なタグの間にHTMLを挿入したい場合は、この回答を見てください:http://stackoverflow.com/questions/1155443/process-a-block-of-html-ignoring-content-within-specific-tags/ 1155530#1155530;それとHTMLPurifierを混在させることで、あなたは何を望むのでしょうか? –