Как в Laravel в view вывести пост без XSS, но с остальными тегами?

Question

[Sunsh1ne]

Приветствую всех,
Пишу проект на Laravel и не могу нигде найти ответа,
как мне вывести в blade текст статьи из бд так, чтобы только white list html тегов проходил,
а, допустим тег script не выполнялся.
Искал, но нашел только эти варианты:Markdown и purifier
Неужели нет ничего получше? Почему-то мне не верится... Столько блогов делается на laravel, как тогда фильтруются теги?
Поделитесь опытом, бывалые)

Comments

[Sunsh1ne]

или стоит фильтровать аж на входе данных?

Answer 1

[Tesla]

Если обязательно нужен html, то HTMLPurifier в помощь. Не знаю, чем он вам не понравился, делает как раз то, что вам нужно: фильтрует теги.

Comments

[Sunsh1ne]

мне кажется, что все пользуются другим решением, может всё проще чем мне кажется.
Буду пробовать HTMLPurifier, спасибо)

Answer 2

[D']

Можно фильтровать контент через strip_tags со списком разрешенных тегов (но это не даст 100% гарантии).
Вообще XSS довольно таки сложная тема, и лучше стараться избегать использования чистого HTML где бы то нибыло...
Лучше использовать редакторы с поддержкой BB-кода или тот же Markdown.

Comments

[Вячеслав Плиско]

Нет, ни в коем случае, она не фильтрует атрибуты для разрешённых тегов.

Answer 3

[Роман Игошин]

Конечно уже поздно, но для тех кто найдет это через поисковик https://github.com/MasterRO94/laravel-xss-filter

Answer 4

[Александр Сисюкин]

you need to do this way

{!! $text !!}
string will auto escape when you perform {{ }}

stackoverflow.com/questions/29253979/laravel-5-dis...

Comments

[Sunsh1ne]

are u kidding me?)
если в переменной $text будет, например html тег script c js скриптом внутри, то этот скрипт выполнится. Это потенциальная XSS уязвимость. Мне нужно такое фильтровать