我正在寻找对用户提交的HTML执行严格(白名单)验证/过滤的最佳实践.
主要目的是过滤掉可能通过网络表单输入的XSS和类似的恶意软件.次要目的是限制非技术用户输入的HTML内容的破坏,例如通过具有HTML视图的WYSIWYG编辑器.
我正在考虑使用HTML Purifier,或者通过使用HTML DOM解析器来完成HTML(脏) - > DOM(脏) - >过滤器 - > DOM(干净) - > HTML(干净)等过程.
您能用这些或任何更简单的策略描述成功吗?有什么陷阱需要注意?
html php security xss validation
html ×1
php ×1
security ×1
validation ×1
xss ×1