php文本编辑器序列化,php 富文本编辑器(Ueditor)的安全过滤机理

最新推荐文章于 2021-03-17 02:17:29 发布
最新推荐文章于 2021-03-17 02:17:29 发布
阅读量230 收藏
点赞数
文章标签: php文本编辑器序列化

2017-08-04

更新问题

php 富文本编辑器(Ueditor)的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常。而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?

这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换

2017-08-03

更新问题

ueditor的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常。而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?

这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换

2017-08-03

更新问题

ueditor的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常。而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?

这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换

2017-08-03

更新问题

ueditor的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?

这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换

2017-08-03

更新问题

ueditor的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?

这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换

2017-08-03

更新问题

ueditor的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换

2017-08-03

更新问题

ueditor的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换

2017-08-03

创建问题

ueditor的安全过滤机理

最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.

我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.

但是我发现一个奇怪的现象:

例如我在Ueditor中输入:和图片以及一段编辑好的文字. htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>

再进一步看

我Ueditor输入的这段经htmlspecialchars后为:

<p>&lt;script type=&#39;text/javascript&#39;&gt;console.log(&#39;sb&#39;);&lt;/script&gt;</p>

而我直接将进行htmlspecialchars后为:

<script type='text/javascript'>console.log('sb');</script>

这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?这样是不是能有效的防止script脚本的过滤,在后台需不需要在利用白名单过滤了.本人菜鸟一枚,请大家多多指教

笨熊和傻兔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP版百度富文本编辑器ueditor
08-08
PHP版百度富文本编辑器ueditor搜索直接到GitHub了,而且没有PHP版本的,用的很不舒服,找到以前用的PHP版百度富文本编辑器,上传供大家使用
php富文本防注入_HTML Purifier,PHP过滤富文本&防止XSS攻击
weixin_42402188的博客
03-09 589
首先引用别人的原话:HTMLPurifier:PHP防止xss跨站攻击利器xss是什么?(百度到的→)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。比如说在博客的新建文章的编辑框里输入然后保存,以后每次访问这篇文章都会弹提示框出来。怎么防止?htmlpurifier的方式的过滤掉...
php 富文本过滤,Html富文本过滤
weixin_35897479的博客
03-13 517
程序背景:80sec注意到很多web应用程序在一些场合需要允许一些Html标签,和一些标签里的一些属性,如一些日志发表的地方,书写文章的地方,但是由于程序员对安全的不太了解,或者在自己进行的安全过滤时考虑不周,都容易带来跨站脚本攻击,在一些web2.0站点甚至引发Xss Worm。常规的一些检测措施包括黑名单,白名单等等,但是都因为过滤得并不全面,很容易被绕过。其实有另外一种过滤相对严格的方法,就...
php ueditor 转译,ThinkPHP+UEditorHTML代码被强制转义解决办法
weixin_42181686的博客
03-17 567
基于安全考量,UEditor和thinkphp在对提交的数据进行储存的情况下会对html代码进行转义,比如P标签会转成<p>,在前端读取后笔者发现前端依旧输出了222,同时对文字进行了加色等方法前台还是显示了一段段的html代码,经过在网上搜索,找到了如下方法,特记录备用。ThinkPHP的内容发布模块用上了百度的UEditor,但是在实现过程中发现Ueditor安全起见对写入的HT...
thinkphp整合ueditor上传功能
生有涯学无涯
12-09 624
<?php // +---------------------------------------------------------------------- // | UploaderController // +---------------------------------------------------------------------- // | Copyright
PHP如何搭建百度Ueditor富文本编辑器
10-17
主要为大家详细介绍了PHP搭建百度Ueditor富文本编辑器的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
php如何接入UEditor富文本编辑器
03-23
php接入UEditor富文本编辑器 部分代码展现 /** * 获取文件完整路径 * @return string */ private function getFilePath() { $fullname = $this->fullName; $rootPath = $_SERVER['DOCUMENT_ROOT'].'/FRONT_...
caozha-UEditor(富文本编辑器)-PHP
06-21
caozha-UEditor是一个rich text富文本编辑器,基于百度UEditor 1.4.3.3-utf8-php版修改。 caozha-UEditor使用方法: 上传图片是否加水印: 1、打开php/config.json,将"imageWatermark"修改为true,即可开启默认添加...
UEditor富文本编辑器的静态资源部分
10-25
富文本编辑器 UEditor的使用 UEditor需要使用到的静态资源部分 vue实现富文本编辑器的使用
使用ueditor富文本编辑器 数据回显带有HTML标签的解决办法
热门推荐
WSWTPSWLT的博客
11-23 1万+
遇到的问题: 后台用富文本编辑器编辑好后,在前台读取数据库中的信息,前台读取的数据是带HTML标签的数据格式 尝试的解决办法: 1:使用js方法将前台读取出来的数据用html()方法 innerhtml() 等js原生方法尽行转换,但是,试了所有的转换方法,结果还是没有解决 当时的思路就是,将数据库中带html标签的数据用某种方法进行解析转化成用富文本编辑器编辑时的数据格式,但是...
UEditor文本浏览器,解决引号加斜杠问题
weixin_30341745的博客
09-28 294
UEditor输入的时候,总会在双引号前面加上“\”斜杠,每存一次就有一次,试了几种方法,都不行,后来查到是PHP的防注入功能生成的反斜杠。 htmlspecialchars()是一个函数,功能是把html标签转化为字符串html htmlspecialchars_decode() 函数把一些预定义的 HTML 实体转换为字符。 记录一下这两种方法 ...
htmlspecialchars()和htmlspecialchars_decode()
自强不息
01-11 7824
htmlspecialchars() 定义和用法 htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 &" (双引号)成为 "' (单引号)成为 '> (大于)成为 > 实例 把预定义的字符 "" (大于)转换为 HTML 实体: <?php $str = "This is so
php5.4后htmlspecialchars输出为空的问题
poly_sunny的专栏
11-29 2216
从旧版升级到php5.4,恐怕最麻烦的就是htmlspecialchars这个问题了!当然,htmlentities也会受影响,不过,对于中文站来说一般用htmlspecialchars比较常见,htmlentities非常少用到。 可能老外认为网页普遍应该是utf-8编码的,于是苦了那些用GB2312,GBK编码的中文站......! 具体表现: $str = "9enjoy.
htmlspecialchars_decode() 函数
Mr_Yanghao的博客
01-25 1520
实例 把预定义的字符 "" (大于)转换为 HTML 实体: <?php $str = "This is some bold text."; echo htmlspecialchars($str); ?> 以上代码的 HTML 输出如下(查看源代码): This is some bold text.
去掉ueditor默认过滤转换机制
Wake_me_Up123的博客
08-10 5815
当使用ueditor编辑文本内容的时候,编辑器会默认的修改很多html样式问题。 解决方案:找到ueditor.min.js文件,搜索其中的配置项: 第9970行:'allowDivTransToP':true,此项默认如上,指允许将用户输入的div标签转换成p标签。我们将其中的true改为false即可。第10105行:case 'li': var className = node.g
html 实体转换为字符:转换 UEditor 编辑器
weixin_33937778的博客
03-24 448
编辑器里输入的提交后,输出时,带有<br>查看表中,都是实体。解决办法:在输出前将内容转换即可。htmlspecialchars_decode()需要再详细,请阅读如下:在 ThinkPHP 3.2.2 中使用UEditor 编辑器保存文章内容时,数据库中保存的数据都被转义成实体,例如:&amp;lt;p&amp;gt;&a...
PHPhtmlspecialchars() 和htmlspecialchars_decode方法详解
weixin_34005042的博客
11-20 514
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 注意:这个函数不能对斜杠/,反斜杠\做处理。 示例: $content = '你...
ueditor过滤
zxc7928932的专栏
11-23 664
ueditor编辑框内生成的文本,是标准的html代码 而一般对于纯文本框的输入 一般要使用过滤(如 htmlspecialchars)因此要在前端正常显示,必须要使用htmlspecialchars_decode来解码。 如果在编辑框内原本就有html的标签或js语句alert('xxx')这样的语句, ueditor会单独将这些部分来html编码,再传入后端 后端再度编码存入数据库。
UEditor富文本编辑器
最新发布
08-24
UEditor是一款开源的富文本编辑器,由百度前端技术部开发和维护。它提供了丰富的功能,包括文字样式设置、图片上传、表格插入、代码高亮等。UEditor支持多种前端框架,如jQuery、React、Vue等,可以方便地集成到各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值