[TYPO3-german] htmlpurifier und typo3
Georg Ringer
typo3 at ringerge.org
Mon Aug 29 12:25:07 CEST 2011
Hallo Dirk,
Am 29.08.2011 11:59, schrieb Wenzel Dirk:
> Hallo,
>
> bei der Arbeit an einer Extension habe ich mir folgende Fragen gestellt:
> 1. wie kann man Benutzereingaben in Formularen gegen Cross-Site-Scripting absichern.
dazu reicht ein htmlspecialchars. HTMLpurfier macht aber wesentlich mehr
da es eben gezielt tags erlaubt usw
> 2. wie kann man für sauberes HTML sorgen, wenn im Eingabefeld HTML erlaubt sein soll.
wenn gewisse tags errlaubt sind, dann ist der htmlpurifier sicherlich
richtig.
> Wenn ich es richtig verstehe, ist strip_tags() eigentlich nur dann sicher, wenn _keinerlei_ tags erlaubt werden. (Sicher bin ich mir da allerdings nicht).
strip_tags kann nicht verwendet werden, um content sicher zu machen
> 1. Gibt es Ansätze, htmlpurifier in Typo3 zu integrieren (als Extension oder in den core). Ich konnte dazu nichts finden.
Leider gibt es dazu noch keine Ansätze, aber cool wär das sicherlich.
Auch das Security Team würde das begrüßen!
Wer hat Lust / Laune / Zeit? Das ganze wäre sicherlich auch möglich
teilw. zu bezahlen...
lg Georg
More information about the TYPO3-german
mailing list