那些遇到过的问题

防止 Symfony 中的 XSS

Gia*_*dos 5 javascript xss symfony

当我在 Symfony2 中使用 wyswyg 编辑器显示文本区域中的数据时,如何防止 XSS?

我有一个带有tinyMCE编辑器的文本区域。我可以插入粗体、斜体的代码,然后我可以使用 twig 过滤器原始在浏览器中显示数据:

{{miArticulo.contenido|raw}}
Run Code Online (Sandbox Code Playgroud)

但是,当我在文本区域中编写脚本(例如警报)时,它也会在浏览器中呈现;

如何仅显示 HTML 中的安全元数据?我尝试用树枝过滤器自动转义环绕,但失败了:

{% autoescape 'html' %}{{miArticulo.contenido|raw}}{% endautoescape %}
Run Code Online (Sandbox Code Playgroud)

我可以显示安全内容 con twig 还是我应该尝试使用其他库,例如 HTMLPurifier

LPo*_*ski 1

在这种情况下,我使用这个捆绑包:

https://github.com/Exercise/HTMLPurifierBundle

当用户发送 HTML 时,在表单上使用它可能会获得最佳性能。(通过文档中描述的表单数据转换器)

据我所知,没有其他选择可以阻止将 js 放入 html 的所有巧妙方法。

归档时间:

查看次数:

8393 次

最近记录:

8 年,9 月 前
相关归档
在Angular中有多个字段 371
播放2.x:如何使用公共按钮发出AJAX请求 59
Symfony2-Doctrine:ManyToMany关系未保存到数据库 57
成功执行异步redux操作后转换到另一个路由 57
Javascript:如果冒号,删除最后一个字符 52
在Symfony路由中使用类常量 9
Symfony上的批量请求 6
Symfony2表单给出了关于FormView的可捕获错误 5
Symfony-依赖项未插入我的实体侦听器类中 5
symfony 中非共享服务的目的是什么? 5
难疑归档
如何在提交前撤消'git add'? 8567
如何分析在Linux上运行的C++代码? 1732
比较Java枚举成员:==或equals()? 1645
如何检查字符串是否为数字(浮点数)? 1519
用64位替换32位循环计数器会引入疯狂的性能偏差 1370
静态只读与const 1349
在Python中创建一个包含列表推导的字典 1216
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
如何向给定元素添加类? 1109