Ich sah Kohana Framework, so dass Benutzer optional HTMLPurifier gegen alle möglichen XSS-Angriffe verwenden können.Ist HTMLPurifier wirklich so kugelsicher?
Ich dachte, HTMLPurifier sollte Standard-konforme Ausgabe des HTML ermöglichen.
Hilft es XSS-Angriffe zu 100% oder wahrscheinlich in großem Umfang zu vermeiden? Oder Sie würden etwas anderes vorschlagen.
Dank
Wie für jedes mögliche Stück Software, ist es nicht perfekt sein kann, und es besteht immer die Gefahr, dass jemand irgendwo einen Tages eine Sicherheitslücke finden und sie nutzen.
So wird niemand sagen „es hilft XSS-Angriffe zu 100% vermeiden“ ...
Aber jedes Mal, ich habe den Kopf von HTMLPurifier, es in großen Begriffen ist - und ich habe es einige Male erfolgreich benutzt und werde es für einige zukünftige Projekte wieder verwenden.
Also, ich glaube, dass „wahrscheinlich in hohem Maße“ Ihre Antwort ;-)