我想在我的网站上使用我使用Laravel 5.2制作的Summernote WYSIWYG编辑器,但是,这里有一个问题:当我提交表单时,我用HTML获取所有代码。因此,我无法逃避我的HTML,因为所有样式都不起作用,但如果我不逃离HTML,我的网站将容易受到XSS的攻击。我该怎么办?Summernote safety
感谢您的帮助。
我想在我的网站上使用我使用Laravel 5.2制作的Summernote WYSIWYG编辑器,但是,这里有一个问题:当我提交表单时,我用HTML获取所有代码。因此,我无法逃避我的HTML,因为所有样式都不起作用,但如果我不逃离HTML,我的网站将容易受到XSS的攻击。我该怎么办?Summernote safety
感谢您的帮助。
,我真的很抱歉,因为这解决了我的问题的解决方案是sooooooo晚了,但我看到4人感兴趣的是这个问题,所以我决定将它张贴。
即使第一次我没有注意到,后来我发现在这种情况下使用的最好的东西是HTML purifier for Laravel 5 (for example this one),因为它会清除所有不安全的html,所以即使用户可以使用html发布,结果也应该是安全的。这使得summernote非常安全。我真的不知道,如果htmlpurifier仍然有任何安全问题,但我所有的测试都是根据需要进行过滤的,所以我认为它应该足够安全。
希望它可以帮助别人。对不起,忘了这个问题后,我发现了一个解决方案...
您是否尝试过使用
HTML::decode($someString)
然后,我让我的网站脆弱 – Danielius