我正在构建一个允许用户通过 HTML 模板构建自己的网站的站点。我应该使用什么样的 HTMLPurifier 设置来阻止 XSS 攻击?
在我的模板系统中,我只允许他们编辑模板的特定部分(即不是整个 HTML 文件,只是其中的一部分)。这不允许他们编辑标签外部,这没关系,但我不希望他们在所述特定部分中使用 javascript。
任何已经有这种 HTMLPurifier 设置的人?
我正在构建一个允许用户通过 HTML 模板构建自己的网站的站点。我应该使用什么样的 HTMLPurifier 设置来阻止 XSS 攻击?
在我的模板系统中,我只允许他们编辑模板的特定部分(即不是整个 HTML 文件,只是其中的一部分)。这不允许他们编辑标签外部,这没关系,但我不希望他们在所述特定部分中使用 javascript。
任何已经有这种 HTMLPurifier 设置的人?