在一些HTML标记为XSS转义后取消转义
在一些HTML标记为XSS转义后取消转义
提问于 2011-06-01 00:07:41
我在数据库中存储了html,我需要将它输出到页面中。
- 如果我不转义()它,那么我就得到了我想要的粗体格式,但是我冒着从未转义的html源代码获得XSS的风险。
- 如果我转义()它,那么它将显示原始的html代码
<b>bold text</b>,而不是粗体文本。
除了一些标签之外,我怎么能逃避一切呢?我正在考虑应用转义(),然后搜索<b>和</b>并取消它们。那能行吗?你看到它有安全问题吗?我也不确定如何搜索<b></b>标记。可能是为了这个还是怎么的?
P.S.我的意思是转义()是Zend中的一个函数。我相信这相当于htmlspecialchars()。
Stack Overflow用户
发布于 2011-06-01 00:18:29
您可以使用HTMLPurifier库来处理转义所需的一切。下面是一个很好的视频,解释如何将其安装到zend框架中
http://www.zendcasts.com/htmlpurifier-integration/2011/05/
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/6194913
复制相关文章
相似问题
腾讯云开发者
