sử dụng HTMLPurifier cho đầu vào hoặc đầu ra thoát/lọc

Question

Tôi đang xử lý một đầu vào người dùng từ nào với một trình soạn thảo WYSIWYG javascript và tôi đang lập kế hoạch về việc sử dụng HTMLPurifier để làm sạch văn bản.

Tôi nghĩ rằng nó sẽ là đủ để sử dụng HTMLPurifier trên đầu vào, lưu trữ đầu vào làm sạch trong cơ sở dữ liệu, và sau đó đầu ra nó mà không có thêm thoát/lọc. Nhưng tôi đã nghe ý kiến ​​khác rằng bạn nên luôn luôn thoát khỏi đầu ra.

Ai đó có thể giải thích tại sao tôi cần phải làm sạch đầu ra nếu tôi đã làm sạch đầu vào?

Answer 1

tôi giả soạn thảo WYSIWYG của bạn tạo ra HTML, sau đó được xác nhận và đưa vào cơ sở dữ liệu. Trong trường hợp đó, việc xác thực đã diễn ra, do đó không cần phải xác thực hai lần.

Đối với "đầu ra thoát", đó là vấn đề khác. Bạn không thể thoát khỏi HTML kết quả, nếu không bạn sẽ không có văn bản được định dạng và các thẻ sẽ hiển thị. Thoát đầu ra được sử dụng khi bạn không muốn đầu ra nói để can thiệp vào việc đánh dấu trang.

Tôi muốn thêm bạn phải rất cẩn thận với những gì bạn cho phép trong giai đoạn xác thực của mình. Có thể bạn sẽ chỉ muốn cho phép một vài thẻ HTML và thuộc tính.

Answer 2

Mật khẩu luôn luôn thoát khỏi đầu ra của bạn, đây là một chuyển đổi văn bản thành HTML, là một mặc định tốt và hợp lý để quay trở lại khi làm việc trong không gian web. Trong trường hợp của Trình lọc HTML, bạn đặc biệt phá vỡ lời khuyên tốt này, bởi vì bạn thực sự thực hiện chuyển đổi HTML sang HTML và xử lý HTML dưới dạng Văn bản một lần nữa không thực sự có ý nghĩa.

Answer 3

Để an toàn 100%, hãy sử dụng HTMLPurifier hai lần. Trước khi lưu HTML vào DB và trước khi xuất nó ra màn hình.
Hạn chế lớn của giải pháp như vậy là hiệu suất. HTMLPurifier là ultraslow khi lọc HTML và bạn có thể gặp phải thời gian xử lý lâu hơn của các trang của bạn.

Bạn nên ok nếu bạn chỉ thực hiện 1-2 lần lọc trước khi xuất một thứ gì đó để sàng lọc, nhưng nếu bạn lọc 10 lần cho mỗi yêu cầu như chúng tôi đã làm, chúng tôi quyết định không sử dụng HTMLPurifier khi xuất ra một lượng lớn văn bản.

HTMLPurifier mất 60% thời gian chế biến theo yêu cầu và chúng tôi muốn đạt được thời gian đáp ứng thấp và cao UX để thay thế.

Điều đó phụ thuộc vào hoàn cảnh của bạn. Nếu bạn có thể đủ khả năng sử dụng HTMLPurifier trước khi xuất, hãy tìm nó - nó tốt hơn và bạn luôn có quyền kiểm soát những thẻ bạn muốn cho phép (cho mới và ngay cả đối với nội dung cũ được lưu trữ trong db của bạn).