Задать вопрос
@IvanIF
информационная-безопасность

Как защитить поле ввода, которое может содержать html-теги от XSS атак?

У меня есть тематический портал на котором пользователи могут опубликовать свой материал.
Этот материал может содержать HTML-теги, поэтому выводить его через функцию htmlspecialchars() нельзя.
Можно было бы фильтровать теги с помощью strip_tags(), но это не решает проблемы.
Как отфильтровать полученные данные и удалить атаки вот такого вида:
<body onload=alert('xss')>
<img src=javascript:alert('xss')>
<body background="javascript:alert('xss')" >
<meta http-equiv="refresh" content="0;url=javascript:alert('xss');">
<style type="text/javascript">alert('xss');</style>
  • Вопрос задан
  • 115 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
z3apa3a
@z3apa3a
Используйте DOMPurify
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
dimonchik2013
@dimonchik2013
non progredi est regredi
ну хоть функции пэхапэ указал , раз за тег забыл

оставляешь только разрещенные теги и проверяешь разбором xml на содержимое

таких тегов у тебя будет ровно один - img
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Переделать скрипт на питоне (добавить прокси с авторизацией)
23 апр. 2024, в 09:39
500 руб./за проект
Довести разработку flutter приложения до логичного конца
23 апр. 2024, в 09:24
15000 руб./за проект
SMM для HR
23 апр. 2024, в 08:58
15000 руб./за проект
Ещё заказы