Задать вопрос
@IvanIF
информационная-безопасность

Как защитить поле ввода, которое может содержать html-теги от XSS атак?

У меня есть тематический портал на котором пользователи могут опубликовать свой материал.
Этот материал может содержать HTML-теги, поэтому выводить его через функцию htmlspecialchars() нельзя.
Можно было бы фильтровать теги с помощью strip_tags(), но это не решает проблемы.
Как отфильтровать полученные данные и удалить атаки вот такого вида:
<body onload=alert('xss')>
<img src=javascript:alert('xss')>
<body background="javascript:alert('xss')" >
<meta http-equiv="refresh" content="0;url=javascript:alert('xss');">
<style type="text/javascript">alert('xss');</style>
  • Вопрос задан
  • 133 просмотра
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
z3apa3a
@z3apa3a
Используйте DOMPurify
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
dimonchik2013
@dimonchik2013
non progredi est regredi
ну хоть функции пэхапэ указал , раз за тег забыл

оставляешь только разрещенные теги и проверяешь разбором xml на содержимое

таких тегов у тебя будет ровно один - img
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Старший специалист по информационной безопасности (аттестация ОИ)
Гринатом Москва
До 120 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
3d-прототип машины-вездехода (blockout)
25 нояб. 2024, в 16:51
1000 руб./за проект
Скорректировать мобильную оптимизацию и удалить лишние страницы
25 нояб. 2024, в 16:37
1500 руб./за проект
Дизайн главной страницы в figma
25 нояб. 2024, в 15:52
3000 руб./за проект
Ещё заказы