【发布时间】:2010-11-13 12:46:29
【问题描述】:
过去两天我在WMD 和Markdown 上工作,但我没有找到安全的股票数据解决方案。我希望用户能够在我的网站上发布 HTML/XML (带有 WMD)。
目前,我以 Markdown 格式存储数据,但如果我禁用 JavaScript,用户可以轻松推送 XSS。如果我 strip_tags 或 html_entities 所有数据我都会丢失用户 HTML/XML 。我该怎么做?
在我看来,我必须 html_entities 只是 pre /pre 之间的代码,但是如何?!我的数据在 Markdown 中。
之后,我该怎么做才能禁止 XSS 属性:
<img src="javascript:alert('xss');" />
【问题讨论】: