本文目录一览:
- 1、用了富文本,怎么避免xss攻击
- 2、我用百度富文本插入网络视频,插入后不能播放,如何解决?
- 3、simditor 富文本编辑器 怎样取消过滤标签
- 4、请教:xss打开的时候,css样式的过滤问题
- 5、富文本编辑器怎么做到防注入
- 6、编辑器如何防止js xss攻击
用了富文本,怎么避免xss攻击
后台过滤就可以了。例如script ,input 标签直接replace掉 ,onclick. onxxx 之类也replace掉。只允许图文的html标记和样式存在。
我用百度富文本插入网络视频,插入后不能播放,如何解决?
修改配置文件:ueditor.config.js,添加xss过滤白名单
embed: ['type', 'class', 'pluginspage', 'src', 'width', 'height', 'align', 'style', 'wmode', 'play','loop', 'menu', 'allowscriptaccess', 'allowfullscreen'],
simditor 富文本编辑器 怎样取消过滤标签
var editor = new Simditor({
textarea: $('#course_desc'),
defaultImage: 'public/js/simditor/site/assets/images/image.png',
params: null,
upload: {
url: 'admin.php?do=cgoodsop=upload',
connectionCount:3,
leaveConfirm: '正在上传文件'
},
emoji:{
imagePath: 'public/js/simditor/emoji/images/emoji/'
},
tabIndent: true,
toolbar : ['html','title','emoji','bold','underline','strikethrough','fontScale','color','ol','ul','blockquote',
'code','table','link','image','hr','indent','outdent','alignment','fullscreen'],
toolbarFloat: true,
pasteImage: true,
allowedTags:['span','div','link','table','tr','td','br', 'span', 'a', 'img', 'b', 'strong', 'i', 'strike', 'u', 'font', 'p', 'ul', 'ol', 'li', 'blockquote', 'pre', 'code', 'h1', 'h2', 'h3', 'h4', 'hr'],
allowedAttributes:{
div:['class','style'],
link:['href','rel'],
img: ['src', 'alt', 'width', 'height', 'data-non-image'],
a: ['href', 'target','style'],
font: ['color'],
code: ['class'],
span:['class','style'],
i:['class','style']
}
这里的allowedTags和AllowedAttributes就是控制过滤的;
请教:xss打开的时候,css样式的过滤问题
为了安全,CI过滤掉那些东西了。你要允许只能自己去修改CI源码。
富文本编辑器怎么做到防注入
只适合在小应用中,并且处理范围非常有限,简单一点就是过滤/转义,在这我就不多说了,其实方法是非常多。我今天主要讲关于架构方面的知识:你google一下,了解下 WAF(Web应用防火墙),主要有两方面的:
软件角度的(推荐):基于nginx的Web应用防火墙/百度的加速了/创新工厂的安全宝......
硬件角度的(不推荐):NGAF
WAF可处理常见的Web安全有:XSS/SQL注入/跨站脚本/shell注入/会话劫持.....
在软件角度,git上面有不少这方面的开源项目,比如:
还有一些付费的云服务:安全宝/加速了......,可以了解下,确实很有意思,并不是简单的过滤转义。
个人认为:这本身属于网站架构方面的内容,是个全局的控制==输入/输出过滤,这要后台和前台保持一致就可以了。
编辑器如何防止js xss攻击
您的回答过于简略,请丰富一下你的内容。
================
过滤