我正在一个网站上工作,该网站允许用户使用编辑器输入html格式的内容。如何过滤XSS,但仍允许基本格式化标记
但是,我担心XSS注射。编辑器显然使用JavaScript过滤客户端的信息,但我几乎不能相信这一点,因为最好的做法是不信任客户端。
我希望能够到白名单中的某些标记,如:
<br> <img src=""> <p> <b>
,但仍执行针对XSS攻击输入一个安全过滤器。
我考虑使用http://php.net/manual/en/function.strip-tags.php,但我注意到img标签是XSS黑客最喜欢的标签之一。
是否有可能做到这一点的功能?它会安全吗?
找到一个像样的BB解析器类[可能是XSS的常见防御方法是什么?](http://stackoverflow.com/questions/3129899/what-are-the-common-defenses-against -xss) – Quentin 2013-04-24 13:47:12
可能重复[什么是用PHP清理用户输入的最佳方法?](http://stackoverflow.com/questions/129677/whats-the-best-method-for-sanitizing-user-input-with -php) – 2013-04-26 04:55:04