Summernote безопасность
Я хочу использовать редактор Summernote WYSIWYG на своем веб-сайте, который я создаю с помощью Laravel 5.2, однако здесь есть одна проблема: когда я отправляю свою форму, я получаю весь свой код в HTML. Из-за этого я не могу избежать своего HTML, потому что все стили не будут работать, но если я не избежу HTML, мой сайт будет уязвим для XSS. Что я должен делать?
Спасибо за вашу помощь.
2 ответа
Я действительно сожалею, потому что решение, которое решило мою проблему, оооочень поздно, но я увидел, что 4 человека интересовались этим вопросом, поэтому я решил опубликовать его.
Даже если сначала я не заметил, но потом обнаружил, что в этой ситуации лучше всего использовать очиститель HTML для Laravel 5 (например, этот), поскольку он очищает все небезопасные HTML, поэтому результат должен быть безопасным, даже если пользователь можно опубликовать с помощью HTML. Это делает SummerNote довольно безопасным в использовании. Я действительно не знаю, если htmlpurifier по-прежнему имеет какие-либо проблемы с безопасностью, но все мои тесты были отфильтрованы по мере необходимости, поэтому я думаю, что он должен быть достаточно безопасным.
Надеюсь, это поможет кому-то. Извините еще раз, забыл об этом вопросе после того, как я нашел решение...