Задать вопрос

entermix @entermix

kohana

Kohana
XSS

Почему так работает HTMLPurifier?

Установил заготовку HTMLPurifier для Kohana, пробую отфильтровать текст (с дефолтными настройками HTMLPurifier ):

<script type="text/javascript">
<!--
	alert('1');
-->
</script>

В результате получаю:

<script type="text/javascript"><!--//--><![CDATA[//><!--
alert('1');
//--><!]]></script>

Но этот код успешно выполняется в браузере, почему так?
Может есть пример настроек HTMLPurifier для Kohana ?

Вопрос задан более трёх лет назад
2499 просмотров

3 комментария

Подписаться 1 Оценить 3 комментария

Антон Вебсайтовский @ws17

Здравствуйте, а вы ставили данный модуль для добавление полей что бы через ббкоде нельзя было js скрипты добавлять.

Написано более трёх лет назад
entermix @entermix Автор вопроса

Антон Вебсайтовский: Да

Написано более трёх лет назад
Антон Вебсайтовский @ws17

entermix: Я скачал модуль, поставил, когда в акшионе подключал его, то выдавало ошибку ! в чем может быть проблема?

$this->template->content = Security::xss_clean ($content);

вот такая ошибка:

ErrorException [ Fatal Error ]: Call to undefined method Security::xss_clean()

APPPATH/classes/controller/admin/products.php [ 205 ]

200 ->bind('cats', $cats)
201 ->bind('data', $data);
202
203 $this->template->page_title = 'Добавить новость или статью';
205 $this->template->content = Security::xss_clean ($content);
206
207 }
208
209 public function action_ajaxproducts()
210 {

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Информационная безопасность

+2 ещё

Средний
Есть ли здесь реальная reflected XSS или это false positive (безопасно ли включать URL запроса в код страницы)?
- 1 подписчик
- 22 нояб. 2023
- 206 просмотров
2

ответа
PHP

+2 ещё

Сложный
Есть ли XSS уязвимости в самописном санитайзере?
- 1 подписчик
- 23 авг. 2023
- 149 просмотров
2

ответа
Spring

+1 ещё

Средний
Как предотвращать XSS в Spring?
- 1 подписчик
- 24 июл. 2023
- 90 просмотров
1

ответ
Django

+2 ещё

Простой
Уязвим ли плагин CKEditor в Django к XSS атакам?
- 1 подписчик
- 26 мая 2023
- 80 просмотров
2

ответа
JavaScript

+2 ещё

Простой
Как превратить HTML вместе с тегами в строку?
- 1 подписчик
- более года назад
- 188 просмотров
2

ответа
WebSocket

+1 ещё

Простой
Надо ли чистить данные, которые пришли от websocket?
- 1 подписчик
- более двух лет назад
- 160 просмотров
1

ответ
JavaScript

+2 ещё

Средний
Что за скрипт и откуда он появился?
- 1 подписчик
- более двух лет назад
- 258 просмотров
1

ответ
JavaScript

+2 ещё

Простой
Считается ли это xss (или другой) уязвимостью?
- 1 подписчик
- более двух лет назад
- 171 просмотр
1

ответ
React

+1 ещё

Простой
Помогает ли библиотека dompurify предотвратить xss атаку когда используешь dangerouslySetInnerHTML?
- 1 подписчик
- более двух лет назад
- 507 просмотров
1

ответ
React

+1 ещё

Простой
React предотвращает ли xss-атаки?
- 1 подписчик
- более двух лет назад
- 231 просмотр
1

ответ
Показать ещё Загружается…

Продакт дизайнер в финтех

Module Agency

от 110 000 до 190 000 ₽

Golang developer middle

Posman

До 200 000 ₽

PPC Team Lead Amazon (Senior)

GORA Group

от 2 500 $

Разработать CRM/ERP проект на Pure Php + Symfony

26 апр. 2024, в 18:27

200000 руб./за проект

Таргетированная реклама в Tik Tok

26 апр. 2024, в 18:24

80000 руб./за проект

Протестировать виджет на личном сайте

26 апр. 2024, в 18:00

500 руб./за проект