在Symfony2中使用wyswyg编辑器从文本区域显示数据时,如何防止XSS?
我的tinyMCE编辑器具有文本区域。我可以插入粗体,斜体的代码,然后使用细枝过滤器raw在浏览器中显示数据后:
{{miArticulo.contenido|raw}}
但是,当我在文本区域中编写脚本(例如警报)时,它也会在浏览器中呈现;
如何仅显示来自HTML的安全元数据?我尝试用树枝过滤器自动转义包围,但失败了:
{% autoescape 'html' %}{{miArticulo.contenido|raw}}{% endautoescape %}
我可以显示安全的内容吗,还是应该尝试使用其他库,例如HTMLPurifier
在这种情况下,我将使用此捆绑包:
https://github.com/Exercise/HTMLPurifierBundle
用户发送HTML时,可能会在表单上使用它,可能会获得最佳性能。(通过文档中所述的表单数据转换器)
据我所知,没有其他选择可以阻止将js放入html的所有巧妙方法。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句