| |
|
|
| | Потребовалось предоставить клиентам WYSIWYG редактор, для возможности добавления информации на странице, на страницах. Автоматически встал вопрос как избавить данные страницы от возможного JavaScript-а. Список допустимых тегов я ограничил, ограничил даже список доступных атрибутов, казалось бы и все, но все равно остаются некоторые конструкции, в которые удается засунуть скрипты, например:
<a href="javascript: alert(1)">Я краду куки</a>
|
Плюс помимо этого наверняка еще есть возможность куда-нибудь засунуть его, так чтоб он работал. Есть какие-нибудь решения для полного и безоговорочного вырезания js?). | |
| |
|
|
| |
|
|
| |
для: Гость
(01.04.2010 в 11:18)
| | | делаете, функцию допустимых тегов
пример:
<?
function bbcode($msg)
{
//Пример касательно URL адресов
$msg=preg_replace('!\[url=(.*)\](.*)\[/url\]!Us', '<a href="\\1">\\2</a>', $msg);
$msg = str_replace('javascript','',$msg);
return $msg;
}
?>
|
и на выводе текста на странице
echo bbcode(htmlspecialchars(ВАШЕ СООБЩЕНИЕ));
|
| |
| |
|
|
