有人知道如何验证(而不是清理)我的HTML,并确保它不包含使用PHP的任何Javascript吗?如果它确实包含Javascript,我将重定向到错误页面。
我曾经尝试使用HTMLPurifier,但是除非我缺少某些东西,否则它似乎只能进行消毒?
如果我的样本攻击=
" onMouseOver="alert(1);
HTMLPurifer将允许这样做,并将其输入数据库。这意味着,如果我将其输出但未能消毒,则可能会有问题。
如果您访问: XSS vulnerabilities still exist even after using HTML Purifier 它把HTML Purifier称为“ HTML Purifier是上下文HTML清除器”。
这很棒,我一定会用,但是我正在寻找一些东西来验证我的输入,然后再将其输入数据库,而不是在输出中清除它(我当然会这样做,但这是一个不同的动作)
我可能缺少一些明显的东西。
谢谢