Estoy buscando las mejores prácticas para realizar la validación/filtro estricto (lista blanca) del HTML enviado por el usuario.Validación estricta de HTML y filtrado en PHP
El propósito principal es filtrar XSS y nasties similares que se pueden ingresar a través de formularios web. El propósito secundario es limitar la rotura de contenido HTML ingresado por usuarios no técnicos, p. a través del editor WYSIWYG que tiene una vista HTML.
Estoy considerando usar HTML Purifier, o hacer rodar el mío usando un analizador HTML DOM para pasar por un proceso como HTML (sucio) -> DOM (sucio) -> filtro-> DOM (limpio) -> HTML (limpiar).
¿Puede describir los éxitos con estas o cualquier otra estrategia más fácil que también sea efectiva? ¿Alguna trampa que hay que tener en cuenta?
... pista: http://htmlpurifier.org/ – BlaM
¡Gracias por su respuesta! –
Resulta que estaba lejos de ser seguro en 2008, estos exploits se encontraron en 2011: http://secunia.com/advisories/43907/, 2010: http://secunia.com/advisories/39613/ Lección: Asegúrese de siempre actualice su instalación de filtro. – Cheekysoft