使用百度Uediter收到内容还需要htmlspecialchars转义吗?
yii2 提供了一种方法来防止XSS攻击。
使用方法是
<?= \yii\helpers\Html::encode($title) //纯文本 ?>
<?= \yii\helpers\HtmlPurifier::process($content) //html显示的文本 ?>
HtmlPurifier 帮助类的处理过程较为费时,可以考虑增加缓存
将返回值在页面上显示需要的吧,百度UEditer富文本编辑器返回的数据中含有html标签
推荐一个轻量级的富文本编辑器
http://www.yiichina.com/extension/1328
转义之后,展示页面内容时 也需要转义回来, 所以基本上不起作用。
要防止xss攻击的话,建议过滤一些特定标签 script 之类的
过滤
