使用百度UEditer富文本编辑器收到的内容还需要转义吗 - 问答 - Yii Framework 中文网

jorge 2017-09-19 12:51:58 5329次浏览 5条回答 0 悬赏 10 金钱

使用百度Uediter收到内容还需要htmlspecialchars转义吗?

最佳答案

师阳发布于 2017-09-22 06:51 举报
yii2 提供了一种方法来防止XSS攻击。
使用方法是

<?= \yii\helpers\Html::encode($title) //纯文本 ?>
<?= \yii\helpers\HtmlPurifier::process($content) //html显示的文本 ?>

HtmlPurifier 帮助类的处理过程较为费时，可以考虑增加缓存

共 5 条回复
jorge 回复于 2017-09-22 23:57 回复
一般常见的富文本编辑器怎么防xss 百度这个不是号称能避免吗?

师阳回复于 2017-09-23 07:12 回复
@jorge Ueditor 能不能防xss这个我没有具体了解过，你可以去问问开发人员，或者自己查看一下ueditor 的源码看看．你也可以简单试试用ueditor 存入　　看看能不能运行

jorge 回复于 2017-09-23 13:51 回复
是我糊涂了,只相信uediter能防了忘了还能直接html提交了,后台还是需要过滤一遍的

薄洪涛回复于 2017-09-26 15:35 回复
@shiyang Ueditor可以防止xss，有一种特殊情况下不行

jorge 回复于 2017-10-01 18:03 回复
@john11 不用他提交直接html post

回复 0 0

yyf 回答于 2017-09-19 15:37 举报

将返回值在页面上显示需要的吧，百度UEditer富文本编辑器返回的数据中含有html标签

共 1 条回复

jorge 回复于 2017-09-20 00:13 回复

转义后标签都变成字符了,怎么显示?你应该没看懂我的问题,不转义这个编译器能防XSS攻击吗?

回复 0 0
johnny1991 回答于 2017-09-19 22:44 举报

推荐一个轻量级的富文本编辑器
http://www.yiichina.com/extension/1328

回复 0 0
Jeen 回答于 2017-09-20 09:45 举报

转义之后，展示页面内容时也需要转义回来，所以基本上不起作用。

要防止xss攻击的话，建议过滤一些特定标签 script 之类的

jorge 觉得很赞

回复 1 0
竹林风回答于 2017-11-10 11:31 举报

过滤

共 1 条回复

竹林风回复于 2017-11-10 11:31 回复

script

回复 0 0

您需要登录后才可以回答。登录 | 立即注册

见习主管

jorge

注册时间：2016-10-31
最后登录：2024-03-01
在线时长：15小时25分

粉丝0
金钱90
威望0
积分240

热门问题