那些遇到过的问题

htmlPurifier不与TinyMCE一起使用

sui*_*lly 3 xss tinymce htmlpurifier

我正在使用htmlPurifier来阻止用户的XSS攻击,并且输入type ="text"字段的一切正常.但是,当我尝试清理tinyMCE textareas似乎htmlPurifier不起作用,例如:

简单的输入文本字段

输入: 

<script>alert("XSS")</script>Cleaning Test
Run Code Online (Sandbox Code Playgroud)

输出:清洁测试

tinyMCE TEXTAREA

输入:

<script>alert("XSS")</script>
Run Code Online (Sandbox Code Playgroud)

输出: <script>alert("XSS")</script>

我错过了什么 ?为什么htmlPurifier在简单的输入文本和tinyMCE textarea上工作?

Ps.:魔术报价关闭

sui*_*lly 6

我想我发现了什么问题.

tinyMCE自动编码实体:

< into &lt;
> into &gt;
" into &quot;
& into &amp;
Run Code Online (Sandbox Code Playgroud)

我尝试在tinyMCE上使用不同类型的entity_encoding,但它们似乎都没有按我的意愿工作,所以我使用PHP:html_entity_decode来解码tinyMCE文本区域,然后我使用htmlPurifier来清理数据,现在一切正常.

希望别人觉得这很有用.

归档时间:

查看次数:

679 次

最近记录:

13 年,1 月 前
相关归档
TinyMCE4 file_picker_callback - 返回其他参数 16
如何用capybara和selenium填充tinymce-rails编辑器? 11
将 S3 上传/浏览与 django-tinymce 集成 5
使用Tinymce创建自定义弹出窗口 5
Tinymce 编辑器删除所有样式,但在粘贴文本时保留项目符号和表格 5
通过iframe src进行xss攻击 4
在wordpress中包含tinymce.init的文件是什么以及在哪里? 4
如果我使用HTMLPurifier,是否还需要使用htmlentities? 3
坏的React dangerouslySetInnerHTML示例? 3
OWASP HTML Sanitizer允许在HTML中使用冒号 2
难疑归档
JavaScript闭包如何工作? 7644
如何在Git中克隆所有远程分支? 3987
如何正确克隆JavaScript对象? 2922
如何在Python中延迟时间? 2638
如何决定何时使用Node.js? 2198
在Python中获取列表的最后一个元素 1871
我怎样才能找到带有Mathematica的Waldo? 1538
如何在回调中访问正确的`this`? 1309
我可以将多个MySQL行连接到一个字段中吗? 1143
在Notepad ++中将制表符转换为空格 1042