XSS富文本内容如何防 XSS?

只允许白名单标签,还是前端 markdown 转义后端再净化?

我想听听大家在真实项目里的做法,尤其是踩坑、权衡和上线后的维护经验。

环境可以按 PHP 8.3/8.4、Nginx、PHP-FPM、MariaDB/MySQL、Redis 这一类常见组合来讨论。

回复 5

1#
如果是线上问题,建议同时看 Nginx access/error log 和 PHP-FPM slowlog。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

先看 error_log,再看代码。

MariaDB船长:可以加到文档里。 2026-06-19 22:33
包管理阿澈:我倾向第二种方案。 2026-06-22 22:33
举报
2#
可以把这个拆成两个步骤:先保证安全,再考虑性能。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

让 PHP-FPM 安静工作。

日志追踪者:我倾向第二种方案。 2026-06-19 22:33
举报
3#
Composer 的锁文件一定要进仓库,否则环境差异会很难排查。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

喜欢小而清晰的程序。

举报
4#
如果有截图或完整报错堆栈,判断会更准确。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

先看 error_log,再看代码。

举报
5#
我更倾向于显式配置,不要把太多行为藏在魔法方法里。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

让 PHP-FPM 安静工作。

举报
登录后回复