WMD Markdown и серверная сторона

Question

Я работал последние 2 дня по WMD и Markdown, и я не нашел решение для данных запаса с безопасностью. Я бы хотел, чтобы пользователи могли отправлять HTML/XML код <> (с WMD) на моем сайте.

На данный момент я располагаю данными в формате Markdown, но если отключить JavaScript, пользователь может легко нажать XSS. Если я strip_tags или html_entities все данные, я теряю пользователя HTML/XML < code>. Как мне это сделать?

На мой взгляд, я должен html_entities только код между pre/pre, но как ?! Мои данные находятся в Markdown.

После, что я могу сделать, чтобы запретить XSS атрибуты:

<img src="javascript:alert('xss');" /> 

Answer 1

«очистить» ваш HTML, вы можете использовать такой инструмент, как HTML Purifier

В основном, это позволяет указать, какие теги/атрибуты разрешены, только они сохраняются.

Он также производит действительный (X) код HTML как вывод - что приятно.

Вы можете увидеть на demo page есть пример, который почти точно XSS вы в курсе, кстати ;-)

Например, вы можете попробовать с какой-то HTML, как этот:

test <img src="javascript:evil();" onload="evil();" /> 
test <img src="http://www.google.com/a.Png" /> test2 

выход:

test test <img src="http://www.google.com/a.Png" alt="a.Png" /> test2 

img тег с XSS не был сохранен; другой имеет; и добавлен атрибут alt, который будет стандартным.

Это не может решить все ваши проблемы, но если вы даете пользователям Possiblity для ввода HTML, это определенно полезно (я бы посмел сказать «это нужно обязательно иметь»?)