0
이상적으로 브라우저에서 테마 HTML을 편집 할 수있는 tumblr과 같이 사용자가 HTML을 편집 할 수있게하고 싶습니다. 당신은 또한 완전한 제어권을 얻습니다. Ive는 html-purifier와 같은 도구에 대해 들어 보았습니다.사용자가 HTML을 편집하고 저장할 수 있도록 허용
HTML을 ''정화하는 것 ''이외의 다른 단계는 무엇을해야합니까?
A
답변
1
며칠 전에 나는 similar question에게 도움을 줄 것을 요청했습니다.
사용자가 생성 한 HTML을 다른 도메인/하위 도메인에 저장하여 쿠키 도용을 방지하고 쿠키를 HttpOnly로 만들어 JavaScript로 액세스 할 수 없도록했습니다. 하위 도메인없이 만 주 도메인에서 쿠키 (인증 등)를 설정할 수 있습니다. 또한 자동 남용을 피하기 위해 CSRF 토큰을 사용할 수 있습니다.
유해한 코드/자바 스크립트를 허용하지 않으려면 HTML을 필터링해야합니다. 금지 된 태그를 블랙리스트에 추가하지 않고 모든 허용 된 태그를 허용 목록에 추가해야합니다 (새 태그에는 HTML5가 있고 브라우저가 있기 때문에). 특이한 것들).
또 다른 해결 과제는 속성 필터링 (JavaScript를 실행할 수있는 onclick과 같은 이벤트 속성)입니다.
또 다른 사용자는 머리말 인 Content Security Policy에 내 관심을 보였습니다 (하지만 불행히도 일부 브라우저에서만 지원됨).
하지만 사용자에게 제공하려는 자유에 달려 있습니다.
MySQL과 관련하여 무엇이 필요합니까? –
그 모두는 사용자가 할 수있는 일에 달려 있습니다. 구체적인 대답을 얻으려면 좀 더 자세한 내용을 제공해야합니다. 특정 시나리오가 있습니까? 정화 방법을 구현하는 데 어려움이 있습니까? – Lix
어딘가에 mysql 태그를 저장해야합니다. –