为什么不使用着名的HTML Purifier呢?
HTML Purifier是一个用PHP编写的符合标准的HTML过滤器库.HTML Purifier不仅会删除所有恶意代码(更好地称为XSS),并且具有经过全面审核,
安全且允许的白名单,还可以确保您的文档符合标准,只有通过全面了解W3C的规范才能实现.
厌倦了使用BBCode,因为当前的
HTML过滤器不完整或不安全?有一个
WYSIWYG编辑器,但从来没有能够使用它?为您正在构建的应用程序寻找高质量,符合标准的开源组件?HTML Purifier适合您!
在防御攻击方面,你所做的事情是完全没有必要和无用的.任何基于JavaScript的"保护"都将在几秒钟内被规避,合法用户将不会乐于无法使用该$标志.始终假设任何传入的数据都可能被篡改.
在服务器端输出数据时需要小心.用于htmlspecialchars()任何传入的文本数据.如果您有传入的HTML需要"清理",请使用Sarfraz建议的HTML净化器.
相关SO阅读:
在PHP站点中避免xss攻击的最佳做法是什么?
PHP中的XSS过滤功能
京公网安备 11010802040832号 | 京ICP备19059560号-6 