好吧,现在我有一个两难的境地,我需要允许用户插入原始HTML,但也阻止所有JS – 不仅仅是脚本标签,而是来自href等,我所知道的只是

htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

但这也将有效标签转换为编码字符.如果我使用striptags,它也不起作用,因为它删除标签！ (我知道你可以允许标签,但事情是,如果我允许任何标签,例如< a>< / a>人们可以添加恶意JS.

有没有什么我可以做到允许HTML标签,但没有XSS注入？我已经计划了一个函数：xss()并设置了我的网站模板.它返回转义字符串. (我只需要帮助逃脱:))

谢谢！

解决方法:

相关：Preventing XSS but still allowing some HTML in PHP

来自HTMLPurifier Docs的示例代码：

require_once '/path/to/HTMLPurifier.auto.php';

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);

您可以在xss(…)方法中将该代码用作参考.