如何从提交的内容中去除恶意 HTML（XXS 等）？

Question

我有一个内容提交表单，其中包含多个输入字段，所有这些字段在提交时都会直接输入到数据库中。当请求此内容时，将打印该内容。

我意识到这是一个安全问题。

如何仅去除恶意 HTML (XSS)，同时仍允许格式化标签（b、i 等）？

Answer 1

@pst 是正确的...您需要明确允许某些标签。但问题是输入可能遍布各处，因此您需要使用像 HTML Tidy (链接到 Source Forge 项目） 将其放入您可以 DOMDocument 的位置::loadHTML 清理后的文档。

您应该使用 HTML Tidy 来清理您的输入并将其置于投诉状态，以便您可以显式允许某些标记。在永久存储之前，应从已清理的内容中删除其他所有内容。 （注意：出于性能原因，不要将 BLOB 存储在数据库中，而是将它们存储在文件系统中，并使用安全位置（不在 Web 根目录中的位置）中的文件路径链接到它们。

祝你好运。

Answer 2

首先在输入上运行 htmlspecialchars，然后针对允许的标签撤消它（例如，将 替换为 < /代码>）。

Answer 3

使用 mysql_stripslashes()、htmlspecialchars() 和 urldecode()，对于整数值，您可能只需进行 int 类型转换。

Answer 4

严格定义您将允许哪些“无辜”html 标签 - 例如 或 。然后运行正则表达式以仅接受您想要的那些，同时拒绝所有其他。

Answer 5

我认为对输入进行编码会有所帮助......

对于 PHP 我相信它是：

htmlspecialchars

Answer 6

有几种方法可以处理这个问题。

首先我们要明确一点：要以安全的方式执行此操作，不能在 javascript 中完成，只能在服务器端完成 - 使用 javascript 安全地强制输入卫生注定会失败 对

1. 组成的字符进行编码当您输出用户生成的数据时

，请更改一些字符以确保其安全。即字符 <、> 和 & 应更改为 <、> 和 &。

如果应该允许用户编辑文本，这是最好的方法，因为您实际上并没有更改存储中的文本，并且您可以让用户通过 textarea 更改未修改的文本

1. 在存储用户生成的数据时对组成 html 的字符进行编码 执行

与上面相同的操作，但在将数据存储到数据库之前执行此操作。

这有一个性能优势，因为您不需要每次输出时都对其进行编码，但它不会让您的用户编辑未修改的文本，这可能是一个严重的缺点，具体取决于您正在构建的内容

1. 。输出或存储

在输出或存储之前删除 < 和 > 字符 - 在我看来这不是一个很好的解决方案，因为它是对用户的不必要的更改输入，但有些人更喜欢它。