好的,现在我陷入两难境地,我需要允许用户插入原始HTML,但也阻止所有JS - 不仅仅是脚本标签,而是来自href等,我所知道的只是
htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
但是这也将有效标签转换为编码字符。如果我使用striptags,它也不起作用,因为它 删除 标签! (我知道你可以允许标签但事情就是如果我允许任何标签,例如<a></a>人可以添加恶意JS。
我可以做些什么来允许html标签,但没有XSS注入?我已经计划了一项功能:xss()并设置了我的网站模板。它返回转义字符串。 (我只需要帮助转义:))
谢谢!
答案 0 :(得分:3)
相关:Preventing XSS but still allowing some HTML in PHP
来自HTMLPurifier Docs的示例代码:
require_once '/path/to/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);
您可以在xss(...)方法中将该代码用作参考。