1

Тема: предотвращение XSS

Здравствуйте
Можно ли как то настройками глобально включить фильтрацию тега script, так как у меня некие функции редактирования БД будут доступны из фронтенда, но чтобы обычные теги пропускало нормально.

2

Re: предотвращение XSS

объясните нормально что где доступно и куда нужно теги пропускать

3

Re: предотвращение XSS

Ну к примеру я редактирую контент с визуального редактора, у меня соответственно теги сохранились в базе на вывод. Можно ставить одну из настроек escaping_method, но они не совсем так как нужно фильтруют, либо вообще теги отключают либо конвертят все специальные символы в их эквиваленты xhtml.
У меня с фронтэнда будет стоять визуальный редактор, и мне нужно чтобы тег [script] удалялся, конвертился и т.д. главное чтобы не исполнялся. А остальные теги работали нормально.
Понимаете чтобы к примеру alert(document.cookie) не исполнялся.

4

Re: предотвращение XSS

есть классы, которые фильтруют html

проще всего

strip_tags  ( string $str  [, string $allowable_tags  ] )

5

Re: предотвращение XSS

вот нашел...
http://scripts.ringsworld.com/form-proc … ut-filter/

6

Re: предотвращение XSS

http://htmlpurifier.org/

7

Re: предотвращение XSS

Спасибо. О strip_tags я знаю)) Просто думал может предусмотрен похожий функционал фильтрации, чтоб регулярок не писать.