-2
ユーザーがカスタムHTMLをサイトに追加できるようにしたいので、XSS攻撃を避けたい。これはどうすればいいですか?私はこれらのタグだけを許可すると思った:ユーザーがカスタムhtmlをプロフィールページに追加できるようにする
[b], [i], [u], [img], [hr], [list], [color=X], [size=X], [font=X], [url]
他のものはすべて削除する。
A
答えて
1
PHPのbbcodeパーサー拡張を使用することをお勧めします。しかし、これは拡張機能がインストールされていることを意味します。正規表現を使ってこれを行うことができますが、間違いなく注意する必要があります。入れ子にされたタグは、regexが扱えるようになっているよりも多くの複雑さを追加します。あなたはコールバックを使って再帰的な正規表現の置き換えのようなものを使う必要があります。また、ユーザがタグを適切に入れ子にしたり、アンカーURLに二重引用符を入れたりすると、何が起きるかさえわかりません。
正規表現をbbコードに使用すると、通常、グライズの死を迎えることになります。
1
セキュリティを維持しながらユーザーがWebサイトをプログラミングできるという無限の複雑さに対処する代わりに、単純なUIでHTMLを包み込みます。あなたが私たちが投稿した答えの真上に見えるものに似ています。ボタンをクリック...太字...クリック...下線など...
0
BBcode、Media Wikiフォーマット、まっすぐなHTMLを使用して、特定の属性/値を持つ特定のタグのみを許可することができます。また、RTE(リッチテキストエディタ)を使用してユーザの作業を容易にすることができます
関連する問題
- 1. ユーザーがGoogleフォームに追加オプションを追加できるようにする
- 2. ユーザーにdisqus/facebookコメントプラグインを追加できるようにする
- 3. Tinymce:ツールバーにカスタムHTMLを追加する
- 4. 管理者がDeviseでユーザーを追加できるようにする
- 5. ユーザーがjavascript/html/cssをアップロードできるようにする
- 6. ユーザーがHTML/JSファイルをアップロードできるようにするリスク
- 7. ユーザーがGoogleマップの場所を追加できるようにする
- 8. Android Webviewにカスタムhtmlコードを追加
- 9. ブロックパラメータをカスタムhtmlブロックに追加
- 10. asp.netアイデンティティにカスタムhtmlテンプレートを追加するには?
- 11. wp_nav_menuにカスタムHTMLを追加するには?
- 12. SharePointカスタムHTMLマスターページでCorev15.cssの前にカスタムスタイルシートを追加するにはどうすればよいですか?
- 13. TImeoutカスタムmongodbにユーザーを追加する際の問題
- 14. 1つのカスタム投稿タイプと共にユーザーを追加する
- 15. 認証にカスタム属性::ユーザーを追加する方法()
- 16. 標準のHTML要素にカスタム属性を追加するにはどうすればよいですか?
- 17. JBehave HTMLレポートにカスタム情報を追加する
- 18. スタティック・ファイルにカスタムHTMLタイトルを追加するExpressミドルウェア
- 19. woocommerce breadcrumbにカスタムHTMLを追加する方法は?
- 20. selectize js listにカスタムhtmlタグを追加する方法
- 21. カスタム配送運送業者/方法にHTMLを追加する
- 22. angle-schema-form:フォームフィールドにカスタムhtmlを追加する
- 23. ユーザーがZend Frameworkで作成したフォームにフィールドを追加できるようにする
- 24. 条件付き追加html属性を追加するには?
- 25. null値をリストに追加できるようにする
- 26. php - ユーザーのプロフィールページを編集する
- 27. 追加のカスタム行をリストビューに追加するにはどうすればよいですか?
- 28. ユーザーがHTMLコメントを入力できるようにする方法
- 29. どのようにワードプレスでカスタム検索を追加するには?
- 30. HTML - ユーザーが変数を追加
どういうところですか? –
@Rafe、私は*彼がBBコードクラスを探していると推測しています。 – Prisoner