Я ищу наилучшие методы для выполнения строгой ( "белого" ) проверки/фильтрации предоставленного пользователем HTML.
Основная цель - отфильтровать XSS и аналогичные nasties, которые могут быть введены через веб-формы. Вторичная цель - ограничить поломку содержимого HTML, введенного нетехническими пользователями, например. через редактор WYSIWYG, который имеет вид HTML.
Я рассматриваю возможность использования HTML-очистителя или сворачивания моего собственного с помощью HTML-анализатора DOM для прохождения процесса, такого как HTML (грязный) → DOM (немытый) → фильтр- > DOM (чистый) -. > HTML (чистый)
Можете ли вы описать успехи этих или любых более простых стратегий, которые также эффективны? Любые подводные камни, за которыми следует следить?