На моем сайте используется редактор WYSIWYG для пользователей, чтобы обновлять свои учетные записи, вводить комментарии и отправлять личные сообщения.PHP XSS Prevention WhiteListing
Редактор (CKEditor) отлично подходит для того, чтобы разрешить пользователям вводить действительный ввод, но я беспокоюсь об инъекции через TamperData или другими способами.
Как я могу контролировать это на стороне сервера?
Мне нужен белый список конкретных тегов: <b><ul><ol><a><img><br>
, будет ли это безопасным подходом к предотвращению XSS?
Есть ли преимущество сделать это над strip_tags с моим собственным белым списком? – pws5068
Собственно, я нашел свой ответ здесь: http://htmlpurifier.org/comparison Благодарим за помощь. – pws5068
@ pws5068: Добро пожаловать :) – Sarfraz