Я ищу класс/утилиту и т.д. для дезинфекции HTML-кода, то есть удаления опасных тегов, атрибутов и значений, чтобы избежать XSS и подобных атак.
Я получаю html-код из текстового редактора (например, TinyMCE), но его можно отправить вредоносным способом, омнизывая проверку TinyMCE ( "Форма данных, отправленная за пределы сайта" ).
Есть ли что-то простое в использовании как InputFilter в PHP? Идеальное решение, которое я могу себе представить, работает так (предположим, что дезинфицирующее средство инкапсулировано в класс HtmlSanitizer):
String unsanitized = "...<...>..."; // some potentially
// dangerous html here on input
HtmlSanitizer sat = new HtmlSanitizer(); // sanitizer util class created
String sanitized = sat.sanitize(unsanitized); // voila - sanitized is safe...
Обновить - более простое решение, тем лучше! Малый класс использования с минимальными внешними зависимостями от других библиотек/фреймворков, насколько это возможно, был бы лучше для меня.
Как насчет этого?