我使用的是HTML Purifier,一種PHP「防止XSS並確保符合標準的輸出的過濾器」,用於清理/標準化用戶輸入的標記。如何處理用戶生成的標記中的ASCII轉義字符?
這是用戶輸入的標記的一個例子:
<font face="'Times New Roman', Times">TEST</font>
其產生:
<span style="font-family:"Times New Roman", Times;">TEST</span>
我有點模糊,因爲"
甚至不是用於轉義字符單引號。這裏最好的做法是什麼,因爲我將在稍後使用此用戶生成的內容?
- 保留原樣
- 替換所有
"
與\'
器執行 - Configure HTML Purifier不同
- 別的東西后?
太棒了 - 如果它看起來不錯,那我就用它!謝謝!另外,我從我的帖子中拿出了驗證評論......它在XHTML 1.0 Strict中正確驗證,這是我需要的。 – Kyle 2010-09-05 09:34:03