Защита css от XSS?

Question

[Апатий Черный]

Доброго времени суток. Как мне защититься от любых уязвимостей при парсинге css файла ?
Я парсю css файл из файла, и отправляю из textarea в html форму с подсветкой синтаксиса, где он и исполняется. Просто вставив <script>alert(1)</script> получаю 1. Я мог бы использовать htmlspecialchars, но он повредит структуру css, и она станет невалидной.
Что можно придумать в таком случае ?

Comments

[Апатий Черный]

SmInc, про бд ничего я не говорил. Он выводится после в форме, где подсвечивается синтаксис. Там он и исполняется

[Алина Масло]

Возможно упустили закрывающий тэг:
<textarea><script>alert("1")</script></textarea>

[Апатий Черный]

Алина Масло, из textarea в html форму, просто как содержимое div'a. Чтобы потом подсветить синтаксис.

[Алина Масло]

Виталий Миронов, чтобы подсветить html сущности на сайте есть готовая реализация: html codemirror

[Апатий Черный]

Алина Масло, в textarea же она не будет работать. Все равно в DOM придется лить этот код. Нашел решение - strip_tags. Не знаю насколько надежное, но скрипты не пускает и стили не портит

[Вася]

strip_tags php?
+ другие варианты атак в гугле смотрите, https://m.habr.com/post/348210/

[Алина Масло]

Виталий Миронов, можно и другой повесить, вот редактор: ace editor textarea

[Апатий Черный]

Алина Масло, спасибо, очень крутая штука

Answer 1

[Евгений Ромашкан]

php strip_tags. Вырезает теги из текста вместе с содержимым. (Теги на валидность не проверят. Удаляет всё что заключено в <> </>). По идее CSS повреждать не должно.