使用PHP清理HTML5(防止XSS)

发布时间：2020-12-13 22:52:26 所属栏目：PHP教程来源：网络整理

导读：我正在使用 HTML5和 Javascript构建WYSIWYG编辑器. 我允许用户通过WYSIWYG发布纯HTML,因此必须对其进行清理. 像保护站点免受跨站点脚本(XSS)这样的基本任务正在??成为一项艰巨的任务,因为它没有最新的净化和安全性.过滤器 – 用于PHP的软件. HTML Purifier目

我正在使用 HTML5和 Javascript构建WYSIWYG编辑器.
我允许用户通过WYSIWYG发布纯HTML,因此必须对其进行清理.

像保护站点免受跨站点脚本(XSS)这样的基本任务正在??成为一项艰巨的任务,因为它没有最新的净化和安全性.过滤器 – 用于PHP的软件.

HTML Purifier目前不支持HTML5,整体状态看起来很糟糕(HTML5支持不会很快到来).

那么我应该如何使用PHP(后端)清理不受信任的HTML5？

迄今为止的选择……

> HTML Purifier(缺少新的HTML5标签,数据属性等)
>使用strip_tags()和Tidy或PHP的DOM类/函数实现自己的净化器
>使用像http://eksith.wordpress.com/2013/11/23/whitelist-html-sanitizing-with-php/这样的“随机”整洁实现
>谷歌Caja(Javascript / Cloud)
> htmLawed(有支持HTML5的测试版)

还有其他选择吗？ PHP死了吗？

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!