如何允许某些标签但阻止其他标签用于XSS

时间:2011-05-08 04:39:59

标签: php security xss

我想允许某些标签,例如<p> <ul> <li> <b> <strong>我有一个特定的列表。但我也希望防止XSS攻击,所以我需要使用转义。我怎么能这样做,以便我允许那些特定的标签,但逃避其他一切?

2 个答案:

答案 0 :(得分:2)

最常推荐的是HTMLPurifier,因为它包含大量的解决方法来防止各种XSS滥用。它过滤掉其他解决方案可能遗漏的标签和属性。这是一些配置工作,在某些设置中可能有点过分。但它肯定是最安全的方法。

您可以使用它配置允许列表,但您仍然可以通过@yc应用strip_tags()方法。但并不孤单! 仅与HTMLPurifier结合使用

答案 1 :(得分:0)

Drupal中有一个名为filter_xss的函数,如果你想要一些复杂的东西,你可以用它作为一个(奇妙的)例子。否则只需使用strip_tags功能。