当我从ckeditor更新数据并且它没有正确保存到数据库时它只保存文本,但是在我应用sneek / laravel-xss-middleware后,表格div和内联样式没有保存。什么xss中间件不影响文本编辑器?我试过别人,但它无法阻止xss。有人可以推荐吗?
我使用htmlpurifier后仍然使用nessus扫描网页以确保安全性:
CGI通用HTML注入(快速测试)
概要远程Web服务器可能容易进行HTML注入。
描述远程Web服务器托管的CGI脚本无法使用恶意JavaScript充分清理请求字符串。通过利用此问题,攻击者可能能够在受影响站点的安全上下文中的用户浏览器中执行任意HTML。
远程Web服务器可能容易受到IFRAME注入或跨站点脚本攻击:
我经常使用HTMLPurifier
完成以下步骤1.install
composer require "mews/purifier:~2.0"
2.设置
php artisan vendor:publish --provider="Mews\Purifier\PurifierServiceProvider"
配置/ purifier.php
<?php
return [
'encoding' => 'UTF-8',
'finalize' => true,
'cachePath' => storage_path('app/purifier'),
'cacheFileMode' => 0755,
'settings' => [
'body' => [
'HTML.Doctype' => 'XHTML 1.0 Transitional',
'HTML.Allowed' => 'div,b,strong,i,em,a[href|title],ul,ol,ol[start],li,p[style],br,span[style],img[width|height|alt|src],*[style|class],pre,hr,code,h2,h3,h4,h5,h6,blockquote,del,table,thead,tbody,tr,th,td',
'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,margin,width,height,font-family,text-decoration,padding-left,color,background-color,text-align',
'AutoFormat.AutoParagraph' => true,
'AutoFormat.RemoveEmpty' => true,
],
],
];
希望对你有用!