Передовой опыт: очистка пользовательского HTML

Лучшей практикой является разрешить только определенные вещи, которые, как вы знаете, не опасны, и удалить/скрыть все остальные. См. документ Automated Malicious. Обнаружение и удаление кода в Интернете (OWASP AntiSamy) для обсуждения этого (библиотека предназначена для Java, но принципы применимы для любого языка).

Если вы действительно хотите разрешить это, вам следует использовать подход белого списка.

Наилучший подход, вероятно, состоит в том, чтобы запретить HTML и вместо этого использовать упрощенный формат разметки; вы можете выполнить предварительный рендеринг в HTML и сохранить его в базе данных, если вас беспокоит производительность. Избежать подобных проблем — одна из основных причин использования Markdown, Текстиль, reStructuredText и т. д.

ПРИМЕЧАНИЕ. Я ссылался на GitHub-Flavored Markdown (GFM), а не на Standard Markdown (SM). GFM решает некоторые распространенные проблемы, возникающие у конечных пользователей при использовании SM.

Недавно я рассмотрел тот же вопрос с Perl в качестве серверного языка.

При этом я столкнулся с HTML Purifier, который может быть тем, что вам нужно. Но, очевидно, поскольку это на PHP, а не на Perl, я на самом деле не проверял его.

Кроме того, в своем исследовании я пришел к выводу, что это очень сложное дело, и подумайте, возможно ли использовать упрощенный язык разметки, такой как Markdown, как предложил Хэнк Гэй.

Если вы знакомы с ASP .NET, просто выполните Server.htmlencode() для преобразования специальных символов, таких как ‹ >, в "& g t;" "& л т ;"

В php вы можете использовать функции htmlspecialchars().

После кодирования специальных символов межсайтовый скриптинг можно предотвратить.