显示 HTML 用户输入，安全问题

Question

在我的网站上，用户将能够为内容输入 html 标签，因此文本可以是粗体、斜体或链接和图像。我打算使用真正使用 HTML 标签的 ckeditor 或 tinymce（不是 BBC 代码或 wiki 语法） 如果我允许 HTML，当显示文本时，它将被解释，并且可能包含一些“hack”，如 javascript 或 XSS .... 我该怎么做才能避免这个安全问题？ 我是否必须列出想要的 html 标签并删除所有不需要的标签和内容？ 我可以为此使用条形标签吗？

例如在stackoverflow上是如何完成的？

你知道一些可以安全保存和安全解释有限html标签的php/jquery插件吗？

提前感谢您的帮助

Answer 1

您需要同时使用服务器端 HTML 清理程序和 Content Security Policy 防止内联脚本、评估和远程托管脚本

根据您在服务器端使用的语言，使用 HtmlSanitiser 或 python Bleach。

使用客户端验证或朴素过滤根本无法保护您：

1. 如果用户手动提交表单，@Smamatti 建议的客户端验证将无济于事。
2. 当有人上传<script src="foo">或<<script>script>alert('foo');</script>或<body onload="alert('foo')";</body>时，@user1477388建议的str_replace('<script>', '', $str);等幼稚过滤将无法保护您