→ my1938: 請愛用推文 09/07 23:28
※ 引述《chan15 (ChaN)》之銘言:
: 今天內文部分提供了 CKEditor,並且開方編輯 source 的權限
: 所以 user 是可以寫像 <script>alert(1);</script> 的語法
: 前台為了呈現其他編輯器的效果是不能用 htmlspecialchars 過濾的
: 該如何呈現 HTML 又過濾 xss 呢
在你沒有額外設定的時後,CKEditor預設有黑名單會過濾script tag
--
Sent from my Android
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.218.65.251
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1441634789.A.502.html