富文本编辑器怎么做到防注入
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了富文本编辑器怎么做到防注入相关的知识,希望对你有一定的参考价值。
参考技术A 只适合在小应用中,并且处理范围非常有限,简单一点就是过滤/转义,在这我就不多说了,其实方法是非常多。我今天主要讲关于架构方面的知识:你google一下,了解下 WAF(Web应用防火墙),主要有两方面的:软件角度的(推荐):基于nginx的Web应用防火墙/百度的加速了/创新工厂的安全宝......
硬件角度的(不推荐):NGAF
WAF可处理常见的Web安全有:XSS/SQL注入/跨站脚本/shell注入/会话劫持.....
在软件角度,git上面有不少这方面的开源项目,比如:https://github.com/loveshell/ngx_lua_waf
还有一些付费的云服务:安全宝/加速了......,可以了解下,确实很有意思,并不是简单的过滤转义。
个人认为:这本身属于网站架构方面的内容,是个全局的控制==输入/输出过滤,这要后台和前台保持一致就可以了。
tinymce富文本编辑器
tinymce富文本编辑器,编辑内容自动给内容添加了<p></p>标签,例如我输入 hello, 得到结果是 <p>hello</p>
请问编辑器的什么设置可以禁止它自动添加标签
以上是关于富文本编辑器怎么做到防注入的主要内容,如果未能解决你的问题,请参考以下文章