我的网站使用WYSIWYG编辑器,用户可以更新帐户,输入评论和发送私人消息.
编辑器(CKEditor)非常适合只允许用户输入有效输入,但我担心通过TamperData或其他方式注入.
如何在服务器端控制它?
我需要将特定标签列入白名单:这是一种防止XSS的安全方法吗?
使用HTML Purifier:
HTML Purifier是一个用PHP编写的符合标准的HTML过滤器库.HTML Purifier不仅会使用经过全面审核,安全且允许的白名单删除所有恶意代码(更好地称为XSS).