参见英文答案 >
How to prevent XSS with HTML/PHP? 9个
我想在我的网站上提供一个HTML编辑器,但不想让自己打开xss或其他允许用户生成HTML的攻击.
这与Stack Overflow的功能非常相似.如何在这里检查/清理HTML以便样式信息仍然存在,而其他更危险的东西(如javascript,iframes等)被保留了?
是否有任何库(最好是PHP)已经这样做了?
最佳答案 PHP有一个函数strip_tags,它从字符串中删除HTML和PHP标记,并允许您指定某些允许的标记.但正如@webarto所述,有
libraries这样做更好.
从PHP Manual开始.
