Я создал почтовый клиент, который работает в моем браузере.Когда нужно отобразить электронную почту в формате HTML, я делаю это следующим образом, вместо того, чтобы напрямую встраивать HTML-код в страницу:
<iframe src="output_HTML_email.php?id=123" sandbox></<iframe>
output_HTML_email.php только делает это:
echo strip_tags($untrusted_HTML_blob, '<style><address><article><aside><footer><header><h1><h2><h3><h4><h5><h6><hgroup><main><nav><section><blockquote><dd><dir><div><dl><dt><hr><li><ol><p><pre><ul><a><abbr><b><bdi><bdo><br><cite><code><data><dfn><em><i><kbd><mark><q><rb><rp><rt><rtc><ruby><s><samp><small><span><strong><sub><sup><time><tt><u><wbr><del><ins><caption><col><colgroup><table><tbody><td><tfoot><th><thead><tr><button><datalist><fieldset><form><input><label><legend><meter><optgroup><option><output><progress><select><textarea>'); // Note that these tags are the ones that are *allowed*; all other ones, such as <script>, are stripped away.
Есть ли что-нибудь небезопасное в этой настройке?Я слышал, что