我正在写一个网站,允许用户将html粘贴到他们的博客中。
他们粘贴的html然后将保存到文件中,这是用户进行更改时将读取并更改的内容。该文件几乎就像一个完整的网页,因此将具有所有常规标签; head,body,div等,等等。
这意味着它应该允许几乎所有html和css标签,除了可能导致安全漏洞的任何内容。因此,它实际上需要剥离php标签,某些样式标签和html / javascript script标签。
我研究了strip_tags函数,但我不想使用它,因为:
a)它删除了我宁愿保留的html注释,并且
b)考虑到我希望它忽略比我要剥离的标签多得多的标签,指定它需要忽略的所有标签将需要很多工作。
我的猜测是,这是使用preg_replace的正则表达式吗?
我想补充;我最近也意识到通过CSS进行XSS攻击,因此关于如何阻止某些CSS样式标签的任何想法/想法都将很不错:)
关于我能做什么的任何想法?