我刚刚开始使用HTML Purifier http://htmlpurifier.org来过滤来自所见即所得编辑器的内容。内容将显示回同一组中的用户或其他用户。系统上还有其他组,并且数据完整性非常重要。HTML净化器过滤器入站或出站或两者?
我正在使用PHP,内容存储在MySQL数据库中。
HTML Purifier使用了大量的处理器能力,所以我只想在入站内容中使用它,并直接从数据库中显示出站内容,而不使用任何过滤器。听起来很简单,它被过滤了,所以它应该是安全的,但我不是100%肯定的,它是安全的吗?
入站允许列表 'p [style],strong,em,u,h1,h2,h3,h4,h5,h6,li,ol,ul,span [style],div [style],br ,ins,del'
编辑:我发现网站建议在http://htmlpurifier.org/docs/enduser-slow.html这样做,但我想在这里提出一些意见,因为它的重要性很高。
看一看OWASP的[XSS预防备忘单](https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet)。 – Adi 2012-07-05 13:12:43