Hallo,
ich bin erst kürzlich auf den HTMLPurifier gestoßen und habe auch alternativen kennengelernt aber ich denke erst mal versuche ich es damit!
Obwohl sich es selber als easy und quit beschreibt, finde ich den Einstieg so ganz und garnicht easy.
Es ist installiert und "configuriert" bzw. bereits im Validierungsprozess eines Formulares eingebaut.
Von einem HTML-reiniger, erwarte ich eigentlich auch das entsprechende XSS Versuche herausgefiltert werden.
Man kann zwar sehr schön festlegen welche Tags und mit welchen Attributen zulässig sind, aber dessen Inhalte scheinen nicht wirklich überprüft zu werden!?!?
Mit diesem Cheat Sheet sieht man sehr schön wie XSS auch in <style> -Elementen eingebunden werden kann und es wird alles nicht heraus gefiltert, kann HTMLPurifier das nicht, brauch ich da jetzt tatsächlich noch einen anderen Filter?
Ich habe extra bereits durch eigene Vorarbeit gesorgt das der Inhalt der an HTMLPurifier übergeben wird leser lich ist (alle Zeichen decoded).
MfG: Paykoman
PS: hoffe mir kann da wer weiterhelfen
ich bin erst kürzlich auf den HTMLPurifier gestoßen und habe auch alternativen kennengelernt aber ich denke erst mal versuche ich es damit!
Obwohl sich es selber als easy und quit beschreibt, finde ich den Einstieg so ganz und garnicht easy.
Es ist installiert und "configuriert" bzw. bereits im Validierungsprozess eines Formulares eingebaut.
Von einem HTML-reiniger, erwarte ich eigentlich auch das entsprechende XSS Versuche herausgefiltert werden.
Man kann zwar sehr schön festlegen welche Tags und mit welchen Attributen zulässig sind, aber dessen Inhalte scheinen nicht wirklich überprüft zu werden!?!?
Mit diesem Cheat Sheet sieht man sehr schön wie XSS auch in <style> -Elementen eingebunden werden kann und es wird alles nicht heraus gefiltert, kann HTMLPurifier das nicht, brauch ich da jetzt tatsächlich noch einen anderen Filter?
Ich habe extra bereits durch eigene Vorarbeit gesorgt das der Inhalt der an HTMLPurifier übergeben wird leser lich ist (alle Zeichen decoded).
MfG: Paykoman
PS: hoffe mir kann da wer weiterhelfen
Kommentar