|
|
|
| Хочу разрешить пользователям использовать некоторые теги HTML кода:
<img src="" alt="" title="" border="" />
<font color="" size=""></font>
заголовки от <h1> до <h6>
<a href="" title=""></a>
<b></b> и <strong></strong>
<i></i> и <em></em>
<u></u>
<s></s> и <strike></strike>
<hr />
<br />
<p></p>
<blockquote></blockquote>
<ul></ul>
<ol></ol>
<li></li>
<table></table>
<td></td>
<th></th>
<tr></tr>
<nobr></nobr>
<sup></sup>
<abbr></abbr>
<acronym></acronym>
<pre></pre>
<code></code>
|
Как сделать так, чтобы это было безопасно? Чем обработать? | |
|
|
|
|
|
|
|
для: JIEXA
(08.07.2007 в 15:58)
| | Картинки и ссылки очень нужны? Особенно картинки - самый, так сказать, рассадник XSS=) | |
|
|
|
|
|
|
|
для: JIEXA
(08.07.2007 в 15:58)
| | Значения атрибутов (href, src, alt, title, border, color, size) должны пропускаться через htmlspecialchars, чтобы не допустить HTML-инъекции.
a href и img src должно уводить только на выбранные схемы https://, http://, ftp://, news://, mailto: ... (иначе возможно исполнение javascript-кода), либо на локальные относительные ссылки(см. ниже), либо на адреса привдимые к таким ссылкам.
Кроме того a href и img src должны уводить либо наружу (т.е. на сервер, отличный от текущего адреса хоста и его алиасов) либо (в том числе и при локальных относительных ссылках) в каталоги, выборка из которых скриптовых и скриптсодержащих типов документов (в т.ч. и html) жестко заблокирована средствами .htaccess - для предотвращения XSS-атак. | |
|
|
|
|
|
|
|
для: Trianon
(08.07.2007 в 16:33)
| | То есть нужно разобрать рег. вырами, а потом обработать htmlspecialchars()?
А готовых функций для обработки сего, не кто не встречал? Или я первый, кому это понадобилось? | |
|
|
|
|
|
|
|
для: JIEXA
(08.07.2007 в 16:44)
| | Нет. Не "то есть". этим Вы обеспечите лишь первый абзац требований. | |
|
|
|
|
|
|
|
для: Trianon
(08.07.2007 в 16:33)
| | Внешние img src стоит вообще запретить. Лучше пожертвовать десяток мегабайт дисковой квоты на пользовательские изображения, чем разгребать последствия XSS. Ну, если речь, конечно, не идет о сайте фотолюбителей=) | |
|
|
|
|
|
|
|
для: JIEXA
(08.07.2007 в 15:58)
| | Вообщем нашел библеотеку хорошую, если кому пригодится, берите http://pixel-apes.com/safehtml/?page=safehtml | |
|
|
|