Меню
Что нового?

safe html: XSS отаке

nerezus

Вселенский отказник
safe html: XSS отаке

Собственно вопрос: как вырезать из html все лишнее?

Пока юзаю сабж: http://drupal.org/project/safehtml

Но.... есть способы лучше?
Регекспы с вырезанием script/etc и прочую подобную хрень не предлагать ;)
 

nerezus

Вселенский отказник
fixxxer в нем куча XSS, не нужно такого мне счастья )

Мне бы что-то безопасное хотелось бы )
 
fixxxer

fixxxer

К.О.
Партнер клуба
безопаснее - htmlspecialchars :)

все остальное в любом случае потенциально уязвимо ;)

как компрописсный вариант могу предложить делать htmlspecialchars и обратное преобразование для ограниченного набора тэгов.
 

nerezus

Вселенский отказник
пардон, в настройках защиту от XSS забыл врубить

-~{}~ 07.01.09 01:41:

> все остальное в любом случае потенциально уязвимо
Нет все же - знаю способы, как можно сделать неуязвимо(т.е. лексический анализ в 2 типа состояний), но это же гемор )
 
Beavis

Beavis

Banned
а чем может быть опасен HTML, пропущенный через htmlspecialchars ?
 

nerezus

Вселенский отказник
Beavis отступлением от постановки задачи.

HTML не должен терять разметку, превращаясь в текст(точнее должен, но в минимальной степени(вырезание левых тегов и закрытие незакрытых))
 
pilot911

pilot911

Новичок
Автор оригинала: nerezus
Beavis отступлением от постановки задачи.

HTML не должен терять разметку, превращаясь в текст(точнее должен, но в минимальной степени(вырезание левых тегов и закрытие незакрытых))
Нажмите для раскрытия...
возник такой же вопрос

так чем в итоге пользоваться ?
 

nerezus

Вселенский отказник
Ну в итоге пока 2 варианта: safehtml и jevix.ru
Пока на первом у меня двиг. Второй изучить надо, думаю.
 
Войдите или зарегистрируйтесь для ответа.
Сверху