Как избавиться от ломающих тегов HTML которые создаются пользователем на странице?

Question

[Yukan Mukimura]

Я создаю сайт какойто и пользователь может создать текст и публиковать ее . Проблема в том что если пользователь вводит в текст теги html и как то их стилизует style="style: value" то после публикации текст ломает страничку и этого не должно быть .
Вопрос:
Какие есть способы убрать эту лазейку ?

Comments

[Aetae]

Если пользователь в принципе может вводить только текст, то собственоо и выводить его надо просто как текст, а не html. И всё, никаких санитайзеров не требуется.

Answer 1

[Михаил Р.]

Использовать санитайзеры, например, библиотеки:
https://github.com/cure53/DOMPurify
https://github.com/apostrophecms/sanitize-html

Какие есть способы убрать эту лазейку ?

Предположим, что пользователь вводит текст и жмет кнопку Сохранить > Получаем текст (на сервере или где?) > Чистим его (библиотеки выше) > Публикуем.

Comments

[ThunderCat]

Чистить на клиенте так себе решение, на бэке все равно нужно проверять что пришло от пользователя.

[Михаил Р.]

ThunderCat,

Чистить на клиенте так себе решение

В вопросе не указаны как теги, так и конкретные серверные ЯП, а в остальном согласен - к фронту должна быть минимальная (если не нулевая) степень доверия.

Кстати, библиотеки выше вполне можно заюзать на ноде (JS то в теге присутствует ;)).

Answer 2

[ThunderCat]

Так в чем проблема? В тегах как таковых или в их стилизации?
В первом случае - php strip_tags или аналогичный функционал другого ЯП на стороне сервера, во втором случае - редактор с поддержкой bbcode + strip_tags на стороне сервера.

Answer 3

[My1Name]

С помощью JS можно просто запретить теги, при этом оставить только те, что вам надо, например img.

var bodyText = text.replace(/<!--[\s\S]*--!?>/g, "").replace(/<(?!img)\/?[a-z][^>]*(>|$)/gi, "");

А вообще, по идее в каждом языке программирования есть библиотеки - парсеры. Например в JAVA есть замечательный плагин (API) JSOUP. Он позволяет находить теги и работать с DOM по аналогии JavaScript.