ฉันกำลังเขียนโค้ดตัวแก้ไขความกว้างแบบ WYSIWYG designMode="on" บน iframe ตัวแก้ไขทำงานได้ดีและฉันเก็บโค้ดตามที่อยู่ในฐานข้อมูล
ก่อนที่จะส่งออก html ฉันจำเป็นต้อง "ล้าง" ด้วย php บนฝั่งเซิร์ฟเวอร์เพื่อหลีกเลี่ยงการเขียนสคริปต์ข้ามไซต์และสิ่งที่น่ากลัวอื่น ๆ มีวิธีปฏิบัติที่ดีที่สุดในการทำเช่นนี้หรือไม่? แท็กใดที่อาจเป็นอันตรายได้?
อัปเดต: แก้ไขการพิมพ์ผิด มันเป็นสิ่งที่คุณเห็นคือสิ่งที่คุณได้รับ ไม่มีอะไรใหม่ :)
แนวทางปฏิบัติที่ดีที่สุดคืออนุญาตให้เฉพาะบางสิ่งที่คุณรู้ว่าไม่เป็นอันตราย และกำจัด/หลบหนีส่วนที่เหลือทั้งหมด ดูรายงาน ที่เป็นอันตรายโดยอัตโนมัติ การตรวจจับและกำจัดโค้ดบนเว็บ (OWASP AntiSamy) สำหรับการสนทนาเกี่ยวกับเรื่องนี้ (ไลบรารีมีไว้สำหรับ Java แต่หลักการจะนำไปใช้กับภาษาใดก็ได้)
หากคุณตั้งใจจะยอมทำเช่นนั้นจริงๆ คุณควรใช้วิธีการไวท์ลิสต์
แนวทางที่ดีที่สุดน่าจะเป็นการไม่อนุญาต HTML และใช้รูปแบบมาร์กอัปแบบง่ายแทน คุณสามารถเรนเดอร์เป็น HTML ล่วงหน้าและเก็บไว้ในฐานข้อมูลได้หากประสิทธิภาพเป็นปัญหา การหลีกเลี่ยงปัญหาประเภทนี้คือหนึ่งในเหตุผลสำคัญในการใช้ Markdown, สิ่งทอ, ข้อความที่มีโครงสร้างใหม่ ฯลฯ
หมายเหตุ: ฉันเชื่อมโยงกับ GitHub-Flavored Markdown (GFM) ไม่ใช่ Standard Markdown (SM) GFM จัดการกับปัญหาทั่วไปบางประการที่ผู้ใช้ปลายทางมีกับ SM
ฉันดูคำถามเดียวกันเมื่อเร็ว ๆ นี้โดยใช้ Perl เป็นภาษาฝั่งเซิร์ฟเวอร์
ขณะทำเช่นนั้น ฉันบังเอิญเจอ HTML Purifier ซึ่งอาจเป็นสิ่งที่คุณต้องการ แต่เห็นได้ชัดว่าเป็นภาษา PHP ไม่ใช่ Perl ฉันจึงไม่ได้ทดสอบมันจริงๆ
นอกจากนี้ ในการวิจัยของฉัน ฉันได้ข้อสรุปว่านี่เป็นธุรกิจที่ยุ่งยากมากและพิจารณาว่าเป็นไปได้หรือไม่โดยใช้ภาษามาร์กอัปที่เรียบง่าย เช่น Markdown ตามที่ Hank Gay แนะนำ
หากคุณคุ้นเคยกับ ASP .NET เพียงดำเนินการ Server.htmlencode() เพื่อแปลงอักขระพิเศษ เช่น ‹ > เป็น "& g t;" "&ล ;"
ใน php คุณสามารถใช้ฟังก์ชัน htmlspecialchars() ได้
เมื่อเข้ารหัสอักขระพิเศษแล้ว จะสามารถป้องกันการเขียนสคริปต์ข้ามไซต์ได้
