Spear
почемучка
Безопасный WYSIWYG
Здравствуйте,
у меня появилась довольно сложная проблема - нужно сдлеать доступ людям, которые будут наполнять сайт контентом. Т.к. невозможно предугадать, кто - добросовестный работник, а кто решит XSS залить в файл новости, мне нужно найти\напистаь (хаха. в яваскрипте я еж точно ноль) WYSIWYG редактор, который будет удалять все вредоностные коды.
Пожалуйста, посоветуйте - как делать.
под опасными тегами я понимаю, конечно,
<script>, <iframe> и аттрибут style.
есть такая идея - парсить сначала весь входящий хтмл код в ББ коды,
после этого удалять все теги, для который не нашлось ББ-заменителя, и после этого уже заносить в базу.. хотя может и в базу будут заноситься ББ коды, а уж при выведении пользователю будет парситься в РНР,
Пожалуйста, подскажите, - может быть кто-то таким уже занимался. Дело в том что в регекспах я не профи, и боюсь что не смогу написать достаточно безопасный парсер html>bb>html
Здравствуйте,
у меня появилась довольно сложная проблема - нужно сдлеать доступ людям, которые будут наполнять сайт контентом. Т.к. невозможно предугадать, кто - добросовестный работник, а кто решит XSS залить в файл новости, мне нужно найти\напистаь (хаха. в яваскрипте я еж точно ноль) WYSIWYG редактор, который будет удалять все вредоностные коды.
Пожалуйста, посоветуйте - как делать.
под опасными тегами я понимаю, конечно,
<script>, <iframe> и аттрибут style.
есть такая идея - парсить сначала весь входящий хтмл код в ББ коды,
после этого удалять все теги, для который не нашлось ББ-заменителя, и после этого уже заносить в базу.. хотя может и в базу будут заноситься ББ коды, а уж при выведении пользователю будет парситься в РНР,
Пожалуйста, подскажите, - может быть кто-то таким уже занимался. Дело в том что в регекспах я не профи, и боюсь что не смогу написать достаточно безопасный парсер html>bb>html
Это нужно делать на стороне сервера с помощью PHP. Не знаешь регулярные выражения? Учи.
