Ich benutze PHP und Zend Framework in meiner Anwendung. Der Benutzer kann etwas HTML eingeben und der Administrator kann dieses HTML sehen. Ich möchte XSS-Injektion vermeiden. Alle HTML-Seiten sollten so dargestellt werden wie JavaScript. Ich habe versucht, script
Tags zu entfernen, aber es ist unsicher. Der Benutzer kann Javascript zu onclick
oder anderen Ereignissen hinzufügen.Der beste Weg, die Ausführung von Javascript zu vermeiden
Danke.
In diesem Fall würde ich wahrscheinlich eine Art Eingang Reiniger/Reiniger verwenden. Zum Beispiel htmLawed: http://www.bioinformatics.org/phlabware/internal_utilities/htmLawed/index.php –