我有一个包含文本和HTML的字符串.我想删除或以其他方式禁用某些HTML标记,例如<script>,允许其他人,以便我可以安全地在网页上呈现它.我有一个允许的标签列表,如何处理字符串以删除任何其他标签?
我开发了一个Web应用程序,允许我的用户在LAMP环境中动态管理网站的某些方面(是的,某种cms)(debian,apache,php,mysql)
好吧,例如,他们在我的服务器上的私人区域创建新闻,然后通过cURL请求(或通过ajax)在他们的网站上发布.
这个消息是用WYSIWYG编辑器创建的(fck at moment,可能是未来的tinyMCE).
所以,我不能禁止html标签,但我怎么能安全?我必须删除什么样的标签(javascripts?)?这意味着服务器安全..但如何"合法"安全?如果用户使用我的应用程序制作xss,我可以遇到一些法律问题吗?