我正在使用 javascript 所见即所得编辑器处理来自公众的用户输入,并且我计划使用 htmlpurifier 来清理文本。
我认为在输入上使用 htmlpurifier 就足够了,将清理后的输入存储在数据库中,然后在不进一步转义/过滤的情况下输出它。但是我听说过其他意见,您应该始终逃避输出。
如果我已经在清理输入,有人可以解释为什么我需要清理输出吗?
【问题讨论】:
标签: php filtering io htmlpurifier
我假设您的所见即所得编辑器生成 HTML,然后对其进行验证并放入数据库。在这种情况下,验证已经发生,因此无需验证两次。
至于“转义输出”,那是另一回事。您无法转义生成的 HTML,否则您将没有格式化文本,并且标签将可见。当您不希望所述输出干扰页面的标记时,使用转义输出。
我要补充的是,您必须非常小心您在验证阶段允许的内容。您可能只想允许一些 HTML 标记和属性。
【讨论】:
为了 100% 安全,请使用 HTMLPurifier 两次。在将 HTML 保存到数据库之前并将其输出到屏幕之前。
这种解决方案的巨大缺点是性能。 HTMLPurifier 在过滤 HTML 时超慢,您可能会遇到页面处理时间较长的情况。
如果您在将某些内容输出到屏幕之前只执行 1-2 次过滤应该没问题,但是如果您像我们一样对每个请求执行 10 次过滤,我们宁愿决定在输出大量要保留的文本时不使用 HTMLPurifier。
HTMLPurifier 花费了每个请求 60% 的处理时间,而我们希望实现更短的响应时间和更高的用户体验。
这取决于你的情况。如果您有能力在输出前使用 HTMLPurifier,那就去吧 - 它更好,而且您始终可以控制要允许的标签(对于存储在数据库中的新内容,甚至是旧内容)。
【讨论】:
口头禅总是逃避你的输出,这是一个文本到 HTML 的转换,是在网络空间工作时回退到的一个很好且合理的默认值。在 HTML Purifier 的情况下,您确实违反了这个好建议,因为您确实在执行 HTML 到 HTML 的转换,并且再次将 HTML 视为文本并没有真正意义。
【讨论】: