Мой сайт использует редактор WYSIWYG для пользователей, чтобы обновлять свои учетные записи, вводить комментарии и отправлять личные сообщения.
Редактор (CKEditor) отлично подходит только для того, чтобы пользователи могли вводить правильный ввод, но я беспокоюсь о вводе через TamperData или другими способами.
Как я могу контролировать это на стороне сервера?
Мне нужно настроить белый список конкретных тегов: <b><ul><ol><a><img><br> будет ли это SAFE-подход для предотвращения XSS?
Использовать очиститель HTML :
HTML Purifier – это стандартная библиотека фильтров HTML, написанная на PHP. HTML-очиститель не только удалит весь вредоносный код (более известный как XSS) с тщательно проверенным, безопасным, но разрешенным белым списком.
strip_tags будет вашим другом. Второй параметр позволяет передать массив разрешенных тегов strip_tags