【发布时间】:2015-11-05 19:53:31
【问题描述】:
我想将用户输入 $content 呈现为 HTML,但阻止 JavaScript 在刀片模板引擎中执行(用于防止 XSS 攻击)。以下代码同时呈现 HTML 和 JavaScript。
{!! $content !!}
我该怎么做?
【问题讨论】:
-
AFAIK,这不是 Blade 内置的。您需要使用
strip_tags来提取<script>和类似DOMDocument来解析出onload等。 -
看看this answer。
-
您需要构建自己的函数来执行此操作。
-
strip_tags不应被依赖。他需要 HTMLpurifier 之类的东西。看我的回答。
标签: security laravel laravel-5 xss