6
¿Cuáles son las ventajas/desventajas de ambos?HTMLPurificador vs Kses
¿Cuál de ellas usarías para filtrar el comentario de un usuario en una publicación en un sitio web?
A
Respuesta
7
kses no se ha actualizado en 7 años, creo que eso es suficiente para eliminarlo de inmediato.
Sin embargo, la verdadera pregunta es: ¿Tiene necesita para aceptar la entrada HTML en los comentarios de los usuarios?
Porque si no lo hace, la solución correcta al problema está utilizando htmlspecialchars antes de repetir los comentarios como HTML, y eso es todo. No se requiere nada más.
Incluso si necesita permitir a los usuarios formatear sus comentarios, hay varios lenguajes de marcado alternativos (BBCode, MarkDown, Textile - esto es lo que SO usa cuando escribe) que son ampliamente utilizados y más que adecuados para el tarea.
Considere que incluso puede compilar Wikipedia sin aceptar la entrada HTML.
+0
@IainCollins: Por supuesto, puede crear XSS si usa un sabor suficientemente poderoso de MarkDown et al. Mi punto es que * no deberías estar haciendo eso *. E incluso si lo hace, 'htmlspecialchars' evitará XSS. – Jon
+0
Ese comentario fue pensado para ser una respuesta a otra publicación relacionada con el escape al utilizar el descuento (comentario eliminado); Lo había dejado abierto para volver más tarde y mezclar las pestañas. Observo que, si bien defiendo "no debería estar haciendo eso", se usa en su respuesta y en la publicación, lo que puede hacer que se detenga la reflexión. Tenga en cuenta que si usa markdown o similar, usar PHP htmlspecialchars() no es apropiado. –
5
Un buen artículo que me aconsejó fue:
HTML Sanitisation: The Devil’s In The Details (And The Vulnerabilities)
utilizo HTMLPurifier en casi todos mis proyectos, ya que con el almacenamiento en caché, no hay un gran impacto en el rendimiento.
0
Recientemente he creado un puerto de filtro Drupal XSS. Es una versión avanzada de Kses. https://github.com/ymakux/xss
$filter = new Filter();
// List of allowed protocols
$allowed_protocols = array('http', 'ftp', 'mailto');
// List of allowed tags you want to keep in text
$allowed_tags = array('a', 'i', 'b', 'em', 'span', 'strong', 'ul', 'ol', 'li', 'table', 'tr', 'td', 'thead', 'th', 'tbody');
$filter->addAllowedProtocols($allowed_protocols);
$filter->addAllowedTags($allowed_tags);
// Parse string
$filtered_string = $filter->xss($string);
Cuestiones relacionadas
- 1. J2ME VS Android VS iPhone VS Symbian VS Windows CE
- 2. TagSoup vs Jsoup vs HTML Analizador vs vs HotSax
- 3. 'método' vs. 'mensaje' vs. 'función' vs. '???'
- 4. ACE vs Boost vs Poco vs wxWidgets
- 5. VS 2008 vs VS 2008 Express
- 6. Atomikos vs JOTM vs Bitronix vs?
- 7. Acumular vs fold vs reducir vs compress
- 8. .NET vs ASP.NET vs CLR vs ASP
- 9. control.BeginInvoke() Vs Dispatcher Vs SynchronizationContext Vs .. - FIABILIDAD
- 10. método vs función vs procedimiento vs clase?
- 11. Rhino simulacro vs Typemock vs JustMock vs
- 12. inline vs __inline vs __inline__ vs __forceinline?
- 13. Exec vs vs ExecWait ExecShell vs nsExec :: Exec vs nsExec :: ExecToLog vs nsExec :: ExecToStack vs vs ExecDos ExeCmd
- 14. bigtable vs cassandra vs simpledb vs dynamo vs couchdb vs hypertable vs riak vs hbase, ¿qué tienen en común?
- 15. Crystalspace vs. Irrlicht vs. .....?
- 16. NetSqlAzMan vs AzMan vs (?????)
- 17. SpiderMonkey vs JavaScriptCore vs.
- 18. Django -vs- Grails -vs-?
- 19. Stackpanel: Altura vs ActualHeight vs ExtentHeight vs ViewportHeight vs DesiredSize vs RenderSize
- 20. Mathematica: sin evaluar vs vs Defer Hold vs vs HoldForm HoldAllComplete vs etc, etc
- 21. NSImage vs. CIImage vs. CGImage?
- 22. Bitmap vs ImageView vs Drawable
- 23. DIP vs. DI vs. IoC
- 24. Boo vs C# vs Python?
- 25. DbConnection vs OleDbConnection vs OdbcConnection
- 26. MySQL vs Firebird vs SQLite
- 27. JSF Facelets vs vs JSP
- 28. migrator.net vs fluentmigrator vs migsharp
- 29. Matlab vs Aforge vs OpenCV
- 30. flume vs kafka vs others
http://htmlpurifier.org/comparison enumera las diferencias probablemente el más objetivas y de forma global. Parece aconsejar htmLawed (una bifurcación) sobre kses. – mario