<分区>
我想在我的网站上提供一个 HTML 编辑器,但不想让自己暴露在 xss 或其他允许用户生成 HTML 的攻击中。
这与 Stack Overflow 所做的非常相似。此处如何检查/清理 HTML,以便样式信息仍然保留,而其他更危险的内容(如 javascript、iframe 等)则被排除在外?
是否有任何库(最好是 PHP)已经这样做了?
<分区>
我想在我的网站上提供一个 HTML 编辑器,但不想让自己暴露在 xss 或其他允许用户生成 HTML 的攻击中。
这与 Stack Overflow 所做的非常相似。此处如何检查/清理 HTML,以便样式信息仍然保留,而其他更危险的内容(如 javascript、iframe 等)则被排除在外?
是否有任何库(最好是 PHP)已经这样做了?
最佳答案
PHP 有一个函数 strip_tags 可以从字符串中剥离 HTML 和 PHP 标签,并允许您指定某些允许的标签。但正如 @webarto 所述,有 libraries做得更好。
来自PHP Manual .
关于php - 如何像 SO 那样过滤掉危险的 HTML?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9853239/