富文本 /Marndown 编辑器如何预防 XSS 攻击

问题描述

在使用富文本 / Markdown 编辑器的时候,最终都会将结果转换成 HTML 代码,这样的话,攻击者就可以在输入内容中穿插 JavaScript 代码或者 HTML 标签,应该如何预防此类 XSS 攻击?

问题补充

个人目前使用的是 ckeditor 编辑器,像 Learnku 这样的编辑器是如何防止 XSS 攻击的呢?

《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 6

过滤标签,比如 <script> 标签

4年前 评论
ChiVincent 4年前

@生活无限好 直接过滤可能不太好,因为有的用户需要输入一些前端的代码

4年前 评论

如果使用 laravel 有一个叫做 {{}} 的东西 这样输出来的都是转义的

然后 貌似默认是直接屏蔽的

Laravel

Laravel

alert('hello')
4年前 评论
4年前 评论
hldh214 (作者) 4年前

在github找扩展包吧

4年前 评论
https://laravelacademy.org/post/9477.html

可以看看这个,我用这个达到了我想要的效果,我用的是 Simplemde 编辑器,转成 HTML 不做处理还是会出现被攻击的现象附带截图:

file

4年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!