如何允许某些html标签？

Question

我有一个文本区域，用户可以在其中撰写文章。文章可以包含文本（粗体和斜体）、链接和 YouTube 视频。如何允许这些特定的 html 标签并仍然发布安全的 xss 预防代码？

Answer 1

我会使用 HTMLPurifier，以确保您只保留

• 有效
• 且仅包含标签的 HTML以及您选择允许的属性

我应该补充一点，PHP 提供了 strip_tags() 功能，但它不是那么好（引用）：

因为strip_tags()实际上并没有验证HTML，部分或
损坏的标签可能会导致删除比预期更多的文本/数据。

此函数不会修改标签上的任何属性
您允许使用 allowable_tags，包括样式和 onmouseover
恶作剧的用户在发布文本时可能会滥用的属性
将向其他用户显示。

Answer 2

如果您正在寻找真正的 XSS 保护，我建议使用 HTMLPurifier。自己做这件事即使不是不可能，也是非常困难的。并且里面肯定会有错误（/漏洞）。