1. дома
  2. Вопрос и ответ
  3. HTML-коды, отображающиеся на странице HTML-данные

HTML-коды, отображающиеся на странице HTML-данные

2010-04-04 5 views
1

Я новичок в Codeigniter. Просто используйте его в моем проекте за последние 2 месяца. У меня есть раздел комментариев в моем проекте. Где кто-нибудь может давать комментарии. Все вещи идут идеально, но когда когда-либо кто-то помещает HTML-контент (изображение/видео) &, тогда, когда они отображаются в разделе комментариев ... прямые HTML-коды отображаются на странице комментариев, а не в HTML-контенте (изображение/видео).HTML-коды, отображающиеся на странице HTML-данные

пример: когда я коплю любой «вставлять код видео юности» в поле для комментариев & кроме того, что из положить приходят как «сырые коды Вставить видео», а не Youtube видео ... ..

Я чувствую, это должно быть второстепенным, но на самом деле не может понять, где произошла ошибка. Plz, если у какого-либо органа есть решение, ответьте мне как можно скорее.

источник

2010-04-04 mi6crazyheart

ответ

0

В качестве быстрого взлома вы можете сделать htmlspecialchars_decode при отображении комментария в своем представлении. Это очень опасно, хотя без использования санитарии, когда вы получаете комментарий - поиск xss_clean на this page. Вы также должны использовать strip_tags, чтобы удалить все теги HTML, которые вам не нужны (все, кроме видео тегов), до вставки комментария в базу данных.

источник

2010-04-04 17:21:59 janosrusiczki

+0

Thx kitsched, для быстрого ответа. На самом деле, я дезинфицирую все мои текстовые входы комментариев с помощью xss_clean, trim. Прошлой ночью я увидел, что может быть в момент времени сенсибилизации «param» tag youtube EMBED-код блокируется. Вот почему эти видео не работают должным образом. – mi6crazyheart

1

У меня была аналогичная проблема, когда я возвращался назад - желая дать конечным пользователям возможность размещать видео на YouTube, но не позволять им просто публиковать что-либо без какой-либо защиты XSS.

В результате я использовал htmlpurifier - http://htmlpurifier.org/, чтобы отфильтровать содержимое, отправленное в форму.

Существует модификация, которая может быть внесена в белый список, который позволяет использовать код YouTube через очиститель.

http://htmlpurifier.org/docs/enduser-youtube.html

До сих пор, что это работает хорошо, но моя система все еще находится в стадии разработки.

источник

2010-04-05 17:52:38 someoneinomaha

+0

htmlpurifier с соответствующей библиотекой CodeIgniter - это довольно находка. Спасибо! – janosrusiczki

2

Не удалось создать систему, в которой кто-то просто запустит ссылку на youtube и через комбинацию регулярных выражений, которую ваша собственная система генерирует сам объект/код для встраивания, поэтому нет опасности для безопасности?

источник

2010-04-05 17:54:57 djFire

+0

Звучит гораздо безопаснее, чем пререкающиеся теги. – janosrusiczki

Смежные вопросы

 Смежные вопросы