Как избавиться от XSS с удаленной страницы во фрейме?

Question

[Александр]

Для упрощения примера приведу следующий код



На странице есть форма:

<form id='send' action='../lib/getpage.php' method='post' target='getpage'><br>
       <input id='url' name='url' type='text' value=''><br>
</form><br>

Которая предает файл getpage.php во фрейм:

<iframe id='getpage' name='getpage' src='' class='autoHeight' frameborder='0' scrolling='auto'></iframe><br>

Сам файл getpage.php выдает тело страницы:

<?<br>
       $url = $_POST['url'];<br>
       $page = file_get_html($url);<br>
       echo $page;<br>
?><br>

Если удаленная страница содержит XSS код, то повлияет ли он на мой сайт и если да, то как избавиться от него?

Comments

[Александр]

Необходимо, чтобы загружаемая страница во фрейме осталась работоспособной, т.е. чтобы браузер смог ее нормально отобразить.

Answer 1

[Александр]

а если просто перед выводом в getpage.php вырезать все возможные xss в $page?

Comments

[Александр]

можете привести свой пример или пример готовой библиотеки, которая не будет портить заголовки выходного html? Т.е. нужна такая обработка страницы, которая оставит саму страницу работоспособной (head->script можно удалить).