我想允许用户可以在我的论坛中使用的HTML标签的有限白名单.所以我已经像这样配置了HTML Purifier:
$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p,a[href|rel|target|title],img[src],span[style],strong,em,ul,ol,li');
$purifier = new HTMLPurifier($config);
我想知道的是,HTML Purifier的默认配置是否仍然适用,但接受的HTML标签数量减少或者我是否需要手动重新设置每个可能的配置参数?
另外,我应该以任何方式调整默认配置以保证安全吗?我是整个XSS保护的新手,是HTML Purifier的新手,并没有发现手册提供了很多"基本"提示和提示.
HTML Purifier 默认情况下是安全的,您通过更改 %HTML.Allowed 对其施加的任何限制都只能保证减少允许的标签集。查看http://htmlpurifier.org/live/smoketests/printDefinition.php以了解调整配置如何更改允许的标记集。
| 归档时间: |
|
| 查看次数: |
4281 次 |
| 最近记录: |