我有一个textarea用户可以写一篇文章.该文章可以包含文本(粗体和斜体),链接和YouTube视频.如何允许那些特定的html标签并仍然发布安全的xss-prevent代码?
Pas*_*TIN 11
我会使用HTMLPurifier,以确保您只保留HTML
我应该补充一点,PHP提供了这个strip_tags()功能,但它不是那么好(引用):
因为
strip_tags()实际上不验证HTML,部分或损坏的标签可能导致删除比预期更多的文本/数据.
此函数不会修改您允许使用的标记上的任何属性allowable_tags,包括恶意用户在发布将向其他用户显示的文本时可能滥用的样式和onmouseover属性.