В настоящее время я работаю над проектом с интерфейсом PHP. Мы очень обеспокоены безопасностью, потому что у нас будет довольно много пользователей и они станут привлекательной мишенью для хакеров. Наши пользователи могут отправлять содержимое в формате HTML, которое будет видно другим пользователям позже. Это большая проблема, потому что мы уязвимы для всего набора атак XSS. Мы фильтруем настолько хорошо, насколько можем, но разнообразие векторов атаки довольно велико.
Итак, я ищу решения для дезинфекции/фильтрации на основе PHP. Коммерческие решения являются прекрасными (даже предпочтительными). В настоящее время мы используем модифицированный очиститель HTML, но мы не удовлетворены результатами.
Каковы некоторые хорошие библиотеки/инструменты, способные фильтровать вредоносные части HTML?
Приятно иметь, например, осведомленность о HTML5, которая станет кошмаром безопасности, когда она будет доступна "в дикой природе".
Update: Мы делаем углубленную конфигурацию Очиститель HTML. Похоже, что прежняя структура, которую мы использовали раньше, просто не настраивала ее вообще. Теперь результаты выглядят намного лучше.