我应该允许用户生成内容的 HTML 标签白名单？

Question

总之，

我正在使用 PHP 构建一个小型网站。在该网站中，我收到用户生成的文本内容。我想允许一些安全的 HTML 标签（例如，格式化）以及 MathML。如何为 strip_tags() 函数编译白名单？是否有我可以使用的公认的白名单？

Answer 1

标准的 strip_tags 函数对于安全性来说是不够的，因为它根本不验证属性。明确使用更完整的库来完全净化 HTML，例如 HTML Purifier。

Answer 2

如果您的目标是不允许 javascript 通过，那么您的标签白名单将非常接近空集。
请记住，几乎所有标签都可以具有 事件属性，其中包含在事件发生时要执行的 JavaScript 代码。指定事件发生。

如果您不想走 HTMLPurifier 类型的路线，请考虑使用不同的语言，例如 markdown< /a> （本网站使用的）或其他类似 wiki 的标记语言；但是，请确保禁用任何可能允许的直通 HTML 的使用。