Pek*_*ica 11
正如David所说,如果您希望清理传入的数据,仅过滤脚本标记是不够的.HTML Purifier承诺完成整个包:
HTML Purifier是一个用PHP编写的符合标准的HTML过滤器库.HTML Purifier不仅会删除所有恶意代码(更好地称为XSS),并且具有经过全面审核,安全且允许的白名单,还可以确保您的文档符合标准,只有通过全面了解W3C的规范才能实现.
像Pekka建议的那样使用HTML Purifier.
对于那种情况,永远不要使用正则表达式
这是一个例子,正则表达式过滤器坏了,适用于浏览器(在Firefox上测试)
<script script=">>><script></script><script>//" >
/**/
alert(1);
</script
>
| 归档时间: |
|
| 查看次数: |
13758 次 |
| 最近记录: |