Я использую PHP и Zend Framework в своем приложении. Пользователь может ввести HTML-код, и администратор может видеть этот HTML-код. Я хочу избежать инъекции XSS. Весь HTML-код должен отображаться как любой javascript. Я попытался удалить теги script
, но это небезопасно. Пользователь может добавить javascript в onclick
или другие события.Лучший способ избежать выполнения javascript
Спасибо.
В этом случае я бы использовал какой-то очиститель/очиститель ввода. Например, htmLawed: http://www.bioinformatics.org/phplabware/internal_utilities/htmLawed/index.php –