2017-08-04
更新问题
php 富文本编辑器(Ueditor)的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常。而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?
这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换
2017-08-03
更新问题
ueditor的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常。而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?
这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换
2017-08-03
更新问题
ueditor的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常。而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?
这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换
2017-08-03
更新问题
ueditor的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?
这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换
2017-08-03
更新问题
ueditor的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?
这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换
2017-08-03
更新问题
ueditor的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换
2017-08-03
更新问题
ueditor的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字。使用htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?这样是不是能有效的防止script脚本的过滤,在后台需不需要再利用htmlpurifier之类进行白名单过滤了。在富文本编辑器这种案例中既要保持样式,又要过滤xss,单独替换
2017-08-03
创建问题
ueditor的安全过滤机理
最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.
我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.
但是我发现一个奇怪的现象:
例如我在Ueditor中输入:和图片以及一段编辑好的文字. htmlspecialchars_decode 还原后,html图片显示正常,文字样式正常.而那一段js代码原样输出了,我查看其html源码为:<script type='text/javascript'>console.log('sb');</script>
再进一步看
我Ueditor输入的这段经htmlspecialchars后为:
<p><script type='text/javascript'>console.log('sb');</script></p>
而我直接将进行htmlspecialchars后为:
<script type='text/javascript'>console.log('sb');</script>
这两个地方的不同,让Ueditor有效的阻止掉了script脚本的运行,那么ueditor 在我提交表单之前对script标签做了什么安全处理?这样是不是能有效的防止script脚本的过滤,在后台需不需要在利用白名单过滤了.本人菜鸟一枚,请大家多多指教