此方法可能会带来安全隐患 ,打算用HTML Purifier 重写该方法
HTML Purifier XSS Attacks Smoketest
许多坛友抱怨diy使用自定义HTML的限制,今天我来告诉大家修改方法。也许官方这么做的初衷是为了怕带来安全隐患吧,但我个人认为只要后台设置好相应的模块权限,只要我们站长或维护人员不嵌入恶意代码,也是会很安全的哦!
以下是修改方法
编辑文件/src/service/design/srv/PwDesignService.php
找到方法(函数)filterTemplate 注释掉自己需要开启的标签,后台更新缓存,搞定!切记模块权限一定要设置成自己可信任的人!
如下代码是开启 scrpit标签的- public function filterTemplate($string) {
- $string = str_replace('/isU',
- '//isU',
- '/',
- /*'',
- '',
- '< ?\\1',*/
- //'',//script 开始
- /*'',
- '',*/
- //'',//script 结束
- /*'',
- '',*/
- '',
- '',
- '',
- ''
- );
- return preg_replace($in ,$out, $string);
- }
|
|
收藏