4

问候,

我正在尝试使用 CKEditor (一个 javascript WYSIWYG 编辑器)防止 XSS 和不正确的 html 来自输入字段。

我应该如何在服务器端过滤这些数据?我比较的两个选项是 PHP Tidy 和 HTML Purifier。我对速度、安全性和有效嵌套感兴趣。

编辑:

根据 HTML Purifier,Tidy 不会阻止 XSS。所以,让我指定我将首先通过用户输入

strip_tags($input,'<img><a><li><ol><ul><b><br>');在传递给 Tidy 之前

4

1 回答 1

4

HTML Purifier 限制了输入strip_tagsstrip_tags不会从您允许的标签的属性中去除 JavaScript。我绝对推荐使用 HTML Purifier。HTML Purifier 速度不快,但添加/编辑执行通常不如视图频繁,因此性能问题不大。

于 2010-07-06T20:34:32.540 回答