ادیتور html و امنیت سایت!

[hossein_asp]

با استریپ تگ میتونی تگهایی که میخوای رو allowable کنی ولی کنترلی روی اتربیوزهاش نیست !! اگه راهی برای کنترل اتربیوزهاش پیدا شد به منم بگو دنبالشم !! :دی

cloob که تاحالا مشکلی براش پیش نیومده اما شاید عقل از سرم پرید رفتم این کدهای bb رو پیاده سازی کردم دارم یه فکرهایی روش می کنم ببینم چقدر زمان می بره.اگه اینکار کردم برا استفاده دوستان کدشو میزارم.

 

[Shahed]

cloob که تاحالا مشکلی براش پیش نیومده اما شاید عقل از سرم پرید رفتم این کدهای bb رو پیاده سازی کردم دارم یه فکرهایی روش می کنم ببینم چقدر زمان می بره.اگه اینکار کردم برا استفاده دوستان کدشو میزارم.

در امنیت strip_html و strip_tags در اینجور موارد همین بس که اگه شما تگ <b> رو فرضا ! یا هر تگ دیگه ای رو ! مثلا <a> رو allowable کنی میشه یه همچین چیزی نوشت توش:

<b onClick='alert()'>bold</b>

 

[balabala]

با استریپ تگ میتونی تگهایی که میخوای رو allowable کنی ولی کنترلی روی اتربیوزهاش نیست !! اگه راهی برای کنترل اتربیوزهاش پیدا شد به منم بگو دنبالشم !! :دی

منظورم همچین چیزی نیست. منظورم معادل سازیه. دقیقا شبیه vB. یعنی دنبال تگ b بگرده و تبدیلش کنه به مثلا.. همینطور برای بقیه تگ ها. و بقیه چیزها رو بریزه دور. اینطوری دیگه هر attributeی هم به تگ اضافه کنن از بین میره.

 

[hossein_asp]

من یه تست کرم اگر فونتو باز بزاریم یا تگه های دیگه رو مشکل ایجاد نمیشه حتی جاوا اسکرپیت در حالت متن به فریم اضافه بشه باز هم مشکل ایجا نمیکنه مشکل موقعی ایجاد میشه که به کاربر اجازه دستکاری کد ها رو بدیم در حالت ادیت سورس.