Wie kann ich Dangerous HTML wie SO herausfiltern?

Question

Ich möchte einen HTML-Editor auf meiner Website bereitstellen, möchte mich aber nicht für XSS- oder andere Angriffe öffnen, bei denen benutzergeneriertes HTML zulässig ist.

Dies ist ziemlich ähnlich wie bei Stack Overflow. Wie wird der HTML-Code hier überprüft/bereinigt, so dass die Styling-Informationen noch erhalten bleiben, während andere, gefährlichere Dinge (wie Javascript, Iframes usw.) weggelassen werden?

Gibt es Bibliotheken (vorzugsweise in PHP), die das schon tun?

Answer 1

PHP hat eine Funktion strip_tags, die HTML- und PHP-Tags aus einer Zeichenfolge entfernt und Ihnen erlaubt, bestimmte zulässige Tags anzugeben. Aber wie @webarto besagt, gibt es libraries, die das besser machen.

Von der PHP Manual.

Answer 2

In Ergänzung zu Whymarrh's Beitrag, schlägt vor, die Code-Arbeit in einem Unterordner Ihrer Site stattfinden zu lassen, und automatisch jeden Code mit "..", oder "http: //" oder irgendwelche mysql-Befehle ändern .

Answer 3

Sie können

strip_tags($yourData,"<a><p><div><i>") // more tags you want to keep; 

Wenn Ihr mit SQL zu

mysql_real_escape_string($data); 

Das ist alles, was Sie wirklich brauchen, nicht gespritzt verwenden verwenden lassen. Beachten Sie, dass Sie bei der Verwendung von mySQL real escape strip slashes verwenden müssen, um sie zu entfernen, wenn Sie sie zurückgeben.

Hier finden Sie die Dokumentation für strip tags und die Dokumentation für mysql escape.

Answer 4

Wenn Sie einige (X) HTML zulassen und nur als unsicher angezeigte Tags einschränken möchten, können Sie etwas wie KSES verwenden. Wordpress verwendet eine solche Lösung.

http://sourceforge.net/projects/kses/