2
どのように正確に使用しますか?これは本当にXSS攻撃を防ぐために必要なのでしょうか?誰かがhtmlspecialchars、mysql_real_escape_string、htmlpurifier、およびその他の形式の注入防御の違いについて説明してください。 HTMLPurifierはJS攻撃から防御していますか?HTMLPurifierとは何ですか?
A
答えて
6
典型的な使用例では、はありませんはHTMLを許可します。そのような場合、マークアップなどを取り除くことはできますが、それを行うだけでXSS(またはSQLインジェクションなど)からあなたを守ることはできません。
HTMLを必要としない場合は、htmlspecialcharsなどを使用してXSSを防ぐために出力をエスケープします。そのような場合は、SQLエスケープを使用してSQLインジェクションを防止します。
一般に、すべてのマークアップを削除して、常にhtmlspecialcharsを使用する方が簡単です。
が絶対ににする必要がある場合は、HTMLPurifierが意味するものです。
関連する問題
- 1. HtmlPurifierタグとpreタグコンテンツ
- 2. htmlpurifierカスタム属性
- 3. html5 doctypeのhtmlpurifier
- 4. HTMLPurifier addElement構文
- 5. htmlspecialchars()vs htmlpurifierライブラリ
- 6. Zend Filter Striptags vs HTMLPurifier
- 7. HTMLPurifier:自動BR私は取得できますか
- 8. HTMLPurifierは属性を許可します
- 9. htmlpurifierはインラインCSSを削除します
- 10. HTMLPurifierでカスタムタグを使用する
- 11. HTMLPurifierでYouTubeを取り除く
- 12. HTMLPurifierでembed/object/param HTMLタグを許可しますか?
- 13. HtmlPurifier:あいまいなWhiteSpaceを削除しますか?
- 14. HTMLPurifierが機能しません
- 15. HTMLPurifierは依然として許容属性を取り除いています
- 16. は、データ - 可能*現在、私は<code>data-*</code> HTMLタグの属性を許可するHTMLPurifierでこのコードを使用していますHTMLPurifier
- 17. PHPを使ってhtmlpurifierをテストするには?
- 18. HTMLPurifierは引用符の前に\を挿入します
- 19. HTMLpurifierでいくつかの属性をホワイトリストに登録するにはどうすればよいですか?
- 20. トランスフォームとは何か、トランスフォームとは何ですか?
- 21. jobConfクラスとは何ですか?それは何ですか?
- 22. @privateとは何ですか?その用途は何ですか?
- 23. IPM.Noteとは何ですか?その用途は何ですか?
- 24. _applyプラグインとは何ですか: 'com.google.gms.google-services'_は何ですか?
- 25. Mongoclientとは何ですか?その目的は何ですか?
- 26. 型とは何ですか?スカラーの型コンストラクタは何ですか?
- 27. GraphemeClusterとは何ですか?ExpressibleByExtendedGraphemeClusterLiteralの機能は何ですか?
- 28. オプションとは何ですか?typescriptの[x:string]は何ですか?
- 29. Sqliteとは何ですか?
- 30. イメージハッシュとは何ですか?
このような質問については、Googleをご利用ください。 – mario