Безопасность от xss

Здравствуйте, есть сайт где я могу добавлять свои свообщения, и вот пишу я <script> alert('xss') </script> и начинаю просматривать и выскакивает сообщение xss в алерт окошке, как обезопасится от этого? Текстовый редактор markitup.

1 ответ

Не пропускать HTML. Вообще.

Markitup — достаточно абстрактный редактор. Используйте его с, например, Textile или Markdown и на серверной стороне (см. опцию previewParserPath) не пропускайте никакого inline HTML. Скажем, у PHP Markdown это делается опциями no_markup и no_entities (как — не помню, PHP уже много лет в руки не брал), у Python'овского Markdown — опцией safe_mode и т. д.

licensed under cc by-sa 3.0 with attribution.