问候,
我正在尝试使用CKEditor(一个javascript WYSIWYG编辑器)阻止来自输入字段的XSS和不正确的html。
我应该如何在服务器端过滤这些数据?我正在比较的两个选项是PHP Tidy和HTML Purifier。我对速度,安全性和有效嵌套感兴趣。
修改:
根据HTML Purifier,Tidy不会阻止XSS。所以,让我指定我首先通过
传递用户输入 strip_tags($input,'<img><a><li><ol><ul><b><br>');在传递给Tidy之前
答案 0 :(得分:4)
HTML Purifier将输入限制在strip_tags之外。 strip_tags不会从您允许的标记的属性中删除JavaScript。我绝对推荐使用HTML Purifier。 HTML Purifier并不快,但添加/编辑执行通常不如视图频繁,因此性能不是问题。