我有一个textarea字段,用户可以在其中发布链接和文本,在应用XSS过滤后,URL变得不可点击。有解决方案吗?
我最近有一个类似的问题,并打算看看使用HTMLPurifier与CI -它可能是多余的,你想要的,但它不会伤害看一看
我没有看到很多解决方案;CI的xss_clean方法是相当广泛的,如果你仔细想想,你会发现一个矛盾:
xss_clean旨在提供针对XSS的安全性,XSS的一种形式是使用恶意链接;但是你仍然想让你的链接活跃和工作,从而打开你的XSS注入…
我的建议是选择以下选项之一:
- 不要使用链接,注意安全& &;声音,但没有可点击的url;
- 允许url使用不同的过滤技术;你需要阅读更多关于这方面的内容,我不是专家,但这项任务将是相当棘手和困难的;但是非常小心,不要过于信任单一的正则表达式,而是应用不同的过滤器(如黑名单,字符剥离,编码/解码等);
- 完整的xss清理输入,并告诉您的用户,如果他们想要有可点击的链接,他们必须在不同的字段提供它们。在此基础上,应用自定义验证(仍然很棘手,但不像第2点那样),使它们能够安全地抵御XSS