Как обезопасить сайт от комментария пользователя с XSS, но при этом сохранить нужные теги (htmlspecialchars делает теги обычным текстом)?

Question

sorry_i_noob @sorry_i_noob

PHP
XSS

Как обезопасить сайт от комментария пользователя с XSS, но при этом сохранить нужные теги (htmlspecialchars делает теги обычным текстом)?

Здравствуйте. У меня на сайте пользователи могут вводить комментарии. В этих комментариях может быть ссылка (тег а с его атрибутами), различное форматирование. Как мне обезопасить сайт от комментария пользователя с XSS, но при этом сохранить нужные теги (htmlspecialchars делает теги обычным текстом)?

Вопрос задан более трёх лет назад
198 просмотров

Комментировать

Подписаться 2 Простой Комментировать

Answer 1 · 2018-08-12 17:44:09

HTML Purifier поможет вам

$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p[style],span[style],em,b,strong,img[src],img[width],img[height]');
$sanitiser = new HTMLPurifier($config);
$text = $sanitiser->purify(filter_input(INPUT_POST, 'text'));

Как обезопасить сайт от комментария пользователя с XSS, но при этом сохранить нужные теги (htmlspecialchars делает теги обычным текстом)?

Войдите на сайт