| |
|
|
| | Подскажите, пожалуйста, каким образом проверяется HTML код (если на сайте допускается его использование) на наличие XSS уязвимостей и вообще других неправомерных действий?
Особенно интересует обработка тегов:
<img>
<iframe>
<object>
<param>
<embed>
? | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(26.06.2012 в 13:55)
| | | Конкретная задача в чем? | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(26.06.2012 в 13:55)
| | | по принципу "запрещено все, что не разрешено", т.е. фильтруйте любой тег, кроме нужного на сайте. А вообще лучше использовать bb-code для возможности размещения пользователем форматированного текста. | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(26.06.2012 в 13:55)
| | | strip_tags ( string $str [, string $allowable_tags] )
например:
...
$allowtags = '<img><iframe><object><param><embed>' ;
$str = strip_tags ($str, $allowtags);
...
|
где $str - обрабатываемая строка, а $allowtags - список допустимых тэгов.
функция возвращает строку из которой удалены html и php тэги, кроме тех которые определены допустимыми. | |
| |
|
|
| |
|
|
| |
для: akmal
(01.07.2012 в 15:59)
| | | Дело в том, что внутрь <img> <iframe> и.т.д.. (в допустимые) можно тоже много чего засунуть нехорошего.. Надо как-то их ещё проверять.. Чтобы не было там java-скриптов... | |
| |
|
|
