Utilisation de HTML Purifier pour arrêter les liens vers son propre site

Question

J'ai utilisé HTML purifier pour éliminer tout élément suspect provenant de mon éditeur WYSIWYG public. Le code HTML entrant est également affiché dans la partie publique du site Web.

J'ai autorisé les liens, et je lie aussi automatiquement les URL en texte clair (en utilisant le purificateur).

Existe-t-il un moyen d'autoriser les liens externes, mais interdit les liens vers le même domaine? Par exemple mon domaine est www.example.com

http://www.google.com seront liés.

http://www.example.com/logout/ ne seront pas liés.

Je cherche à minimiser toute interférence d'utilisateurs malveillants. Devrais-je simplement faire en sorte que ma connexion se termine par une action de formulaire avec une paire clé/valeur POST pour empêcher que cela se produise?

Merci

Answer 1

Votre login/le formulaire doit toujours être de POST uniquement.

Ne vous inquiétez pas d'une valeur de vérification, mais il s'agit d'un problème de sécurité assez important - toutes les transactions qui changent l'état du serveur Web doivent être des requêtes POST. Vous ne devez JAMAIS autoriser http://example.com/object?action=delete, ni aucune de ses variantes. PHP encourage les mauvaises pratiques dans ce domaine, mais vous devez TOUJOURS utiliser l'un ou l'autre et NE JAMAIS autoriser les deux.

Si vos utilisateurs peuvent écrire des formulaires dans votre éditeur WYSIWYG, vous avez des problèmes beaucoup plus importants.

Pour répondre à votre question initiale, de désactiver les liens internes, utilisez URI.HostBlacklist et assurez-vous de mettre URI.MakeAbsolute:

http://htmlpurifier.org/live/configdoc/plain.html#URI.HostBlacklist