При использовании белого списка HTML и HTMLPurifier, существуют ли какие-либо махинации , которые может выполнить злонамеренный пользователь, если разрешено <a></a>?
<a></a>
Для атмосферы:
Нет, если вы разрешаете только атрибут href и не разрешаете псевдопротокол javascript:.
href
javascript:
