Я ищу простую библиотеку PHP, которая помогает отфильтровать уязвимости XSS в выводе Скидки с цены PHP. Т.Е. Скидка с цены PHP проанализирует вещи, такие как:
[XSS Vulnerability](javascript:alert('xss'))
Я делал некоторое чтение вокруг и лучшее, которое я нашел на предмете, здесь был этот вопрос.
Хотя Очиститель HTML похож на лучшее (почти только) решение, я задавался вопросом, было ли что-либо там более общее? Очиститель HTML, кажется, немного устойчив специально для моих потребностей, а также боли для конфигурирования, хотя похоже, что это работало бы превосходное после выполнения так.
Есть ли что-либо еще там, которое может быть немного менее устойчивым и настраиваться, но все еще действительно ли тело работает? Или я должен просто закопать и начать пытаться настроить Очиститель HTML для своих потребностей?
РЕДАКТИРОВАНИЕ ДЛЯ ЯСНОСТИ: я не надеюсь сокращать углы или что-либо подобного. Очиститель HTML просто предлагает большое мелкомодульное управление, и для простого маленького проекта просто не необходимо так много управления, хотя использование ничего не является опцией также. Это - то, куда я происходил из при просьбе что-то более простое или менее устойчивое.
Также заключительное примечание, я НЕ ищу предложения для использования htmlspecialchars()
, strip_tags()
или что-либо подобного. Я уже запрещаю, встроил HTML в Скидке с цены PHP, Дополнительной путем очистки его подобным способом. Я ищу способы предотвратить уязвимости XSS в ВЫВОДЕ Скидки с цены PHP.
Спасибо.
Я никогда не слышал о каком-либо другого инструмента, чем HTML-очиститель , Для этого - и очиститель HTML действительно имеет хорошую репутацию.
Может быть, это « немного крепко « И » боль для настройки », да; Но это также, вероятно, самые используемые и тестируемые, решение доступно в PHP ;; И это важные критерии, когда вы должны выбрать такой важный компонент.
Даже если это означает, что это означает Инвестирование Через день, чтобы правильно настроить его, если я был в вашей ситуации, я бы, вероятно, выбрал бы очиститель HTML.
Нет такой вещи, как слишком надежно. «Санитизация» HTML является HARD . Любые углы, которые вы обрезаете, чтобы обработать его, скорее всего, приведет к подвиганию. Даже сложный старый HTMLPurifier, со своей лучшей репутацией порода, имел несколько способов прекращения опасной разметки в прошлом!
Однако, если ваше решение Text-Markup способно выводить опасный HTML, то он недостаточно и должен быть заменен IMO. Если PHP Markdown позволяет JavaScript:
URL-адреса через тогда это довольно жалобный, базовый недостаток, и я не думаю, что я доверяю ему, чтобы получить все остальное право.