Я хочу предоставить HTML-редактор на своем сайте, но не хочу открывать себя для xss или других атак, которые поставляются с предоставлением пользовательского HTML.Как отфильтровать Dangerous HTML, например SO?
Это очень похоже на то, что делает переполнение стека. Как HTML проверяется/очищается здесь, так что информация о стилизации остается, в то время как другие, более опасные вещи (например, javascript, iframe и т. Д.) Не используются?
Есть ли библиотеки (желательно на PHP), которые уже делают это?
Задайте это по meta. – j08691
Вероятно, лучше спросить на meta.stackoverflow.com –
Самый простой способ - использовать список известных безопасных и разрешенных HTML-тегов, а не пытаться отфильтровывать плохие вещи. –