Tôi đang xử lý một đầu vào người dùng từ nào với một trình soạn thảo WYSIWYG javascript và tôi đang lập kế hoạch về việc sử dụng HTMLPurifier để làm sạch văn bản.sử dụng HTMLPurifier cho đầu vào hoặc đầu ra thoát/lọc
Tôi nghĩ rằng nó sẽ là đủ để sử dụng HTMLPurifier trên đầu vào, lưu trữ đầu vào làm sạch trong cơ sở dữ liệu, và sau đó đầu ra nó mà không có thêm thoát/lọc. Nhưng tôi đã nghe ý kiến khác rằng bạn nên luôn luôn thoát khỏi đầu ra.
Ai đó có thể giải thích tại sao tôi cần phải làm sạch đầu ra nếu tôi đã làm sạch đầu vào?
Vấn đề với việc dựa vào trình soạn thảo js là một người dùng độc hại có thể gửi một bài đăng bỏ qua bất cứ điều gì kiểm tra các js có. – Yehosef
@user tất nhiên. Nhưng không phải máy lọc của bạn cho mục đích đó? –
@Col - vâng - nhưng Artefacto đã nói rằng js "đã xác thực" html - vì vậy không cần xác thực hai lần (nghĩa là sử dụng htmlpurifier) – Yehosef