Kendi sitesine link durdurmak için HTML Arıtma kullanma

1 Cevap php

I HTML purifier Benim kamu bakan WYSIWYG editörü gelen herhangi bir şüpheli şeyler ayıklamak için kullandık. Gelen HTML ayrıca web sitesinin kamu bölümünde görüntülenir.

Ben bağlantıları izin var ve ben de otomatik olarak (temizleyici kullanarak) düz metin URL'leri Linkify.

Dış bağlantıları sağlamak için bir yolu var mı, ama yasağı aynı etki bağlar? Benim etki örn www.example.com ise

http://www.google.com bağlantılı olacaktır.

http://www.example.com/logout/ bağlantılı olmayacaktır.

Ben kötü niyetli kullanıcılardan herhangi bir girişimi en aza bakıyorum. Ben sadece bunun olmasını durdurmak için benim çıkış bağlantı POST anahtar / değer çifti ile bir form eylemi yapmak gerekir?

Teşekkürler

1 Cevap

Giriş / çıkış formu DAİMA POST-sadece olmalıdır.

Bir doğrulama değeri hakkında endişe, ama bu oldukça önemli bir güvenlik sorunu olduğunu etmeyin - web sunucusunun durumunu değiştirmek herhangi bir işlem POST istekleri olmalıdır. Bu http://example.com/object?action=delete izin vermek, ya da bunların herhangi bir varyantı asla. PHP bu konuda kötü bir uygulama teşvik, ancak DAİMA birini veya diğerini kullanın ve ASLA hem izin vermelidir.

Kullanıcıların WYSIWYG editörü içine formları yazabilir, bu çok daha büyük sorunları var.

, Orijinal soruyu cevaplamak için iç bağlantıları devre dışı bırakmak için, URI.HostBlacklist kullanmak ve ayarlamak emin olun URI.MakeAbsolute:

http://htmlpurifier.org/live/configdoc/plain.html#URI.HostBlacklist

etiketler