我正在编写PHP类,必须从HTML源中删除所有potentially dangerous elements or bogus html tag (such as bad links)。
通常我会使用HTML Purifier library或类似的库,
但是这个项目需要自编代码。
有两个条件:
我写了一些可以胜任的工作:http://pihost.pl/purify.php
但我不知道它是否足够安全使用
我的问题是:
有没有办法正确测试?
或者也许有人拥有这样快速,小巧且经过测试的图书馆?
答案 0 :(得分:1)
需要考虑的重要事项 - 您的净化器如何对损坏/格式错误的HTML做出反应?为了解决这种情况,我建议您首先通过PHP tidy运行它来清理HTML,然后再进行净化。
如果您想要进行一系列测试,可以尝试查看HTMLPurifier使用的tests。
答案 1 :(得分:0)
此网站有大量示例漏洞利用:http://ha.ckers.org/xss.html
您可以尝试通过净化器运行它们,看看另一侧出现了什么。