说百度编辑器好用,Markdown编辑器的站长不服,这两个编辑器都是排版及写及现。百度编辑器能编辑代码过滤div标签,而Markdown编辑器则使用的是标签。所以,作为一个百度编辑器的爱好者,我告诉你百度编辑器也非常危险。

百度编辑器,能编辑HTML标签、只截图、只上传、不发布、又重来、循环N次,图片、附件、视频等等,服务器表示硬盘不够大。这都不是重点,重点是能插入JS代码,比如引用外部JS等。下面,小千附上一段JS、CSS的过滤代码。

$body = preg_replace('/<style\b[^>]*>.*?<\/style>/si', '', $body);//过滤CSS样式
$body = preg_replace('/<script\b[^>]*>.*?<\/script>/si', '', $body);//过滤JS脚本
$body = preg_replace('/<link.*?>|<script.*?>|<style.*?>.*?<\/style>/si', '', $body);//过滤CSS样式

对的,没错,新研究的代码,代码就是这么简单。一般的网站,PHP正规则写得不够完善的,改改字母大小写就能插入了。什么<ScriPt>和<StYle>标签,任你随意排字母大小写,全部都能轻松的过滤。其实,百度编辑器,用于用户投稿,能编辑HTML的,对网站的风险是很高的,但是有了这段代码,让用户编辑HTML都没事。

温馨提示

内容由用户共同创建和维护,并不代表站长互动论坛立场!
建议您独自对内容进行评估,核实并咨询相关的专业人士!

1 个回复 | 最后更新于 2024-02-06
全村的希望
2024-02-06  沙发

站长用百度编辑器,用户用Markdown编辑器,百度编辑器控制性强,Markdown编辑器用户体验好,懒人站长用百度编辑器容易被黑。

登录后方可回帖

Loading...