[請益] CKEditor XSS 問題 chan15 PTT批踢踢實業坊

[請益] CKEditor XSS 問題

作者: chan15 (ChaN) 2015-09-07 12:20:18

今天內文部分提供了 CKEditor，並且開方編輯 source 的權限
所以 user 是可以寫像 <script>alert(1);</script> 的語法
前台為了呈現其他編輯器的效果是不能用 htmlspecialchars 過濾的
該如何呈現 HTML 又過濾 xss 呢

作者: shadowjohn (轉角遇到愛) 2015-09-07 13:06:00

以前是用bbcode之類的限制，script、event都拿掉http://3wa.tw/url.php?id=309 ckeditor有內鍵的

作者: gname ((′口‵)↗︴<><...<><) 2015-09-07 13:13:00

最簡單的方式就是自己寫 filter 啊..

作者: tka (tka) 2015-09-07 23:19:00

http://htmlpurifier.org/ 不曉得合不合你用

作者: poiuy999 (Nines) 2015-09-07 23:43:00

addslashes($_POST)stripcslashes($record)

繼續閱讀

[請益] 關於wordpress上傳rachel0505 [請益] 資料庫連線數是否過多問題unicle Re: [請益] 如何實現如wp般的固定網址？chippclass Re: [請益] 多個array 排序很慢IhaveASecret [請益] 儲存常用表單內容lk2986706we [請益] 掃描目錄並可選擇上傳jenny81510 [請益] 如何實現如wp般的固定網址？wonderow [請益] 多個array 排序很慢CuCuGi [心得] Elastica Search 工具Linux Re: [請益] 請問php和javascript的function如何分辨NioTW

Contact Us: admin [ a t ] ucptt.com