HTMLPurifier, проверьте весь документ HTML

Question

Я использую HTMLPurifier для проверки XSS во всем HTML-документе. Проблема в том, что он, кажется, удаляет все, что не находится внутри тегов <body>. Но я хочу сохранить все, просто остерегайтесь серьезных XSS-атак.

Любые идеи, как разрешить <HTML>, <HEAD>, <META> и т. Д .?

Answer 1

Дэвид, я просто искал на форуме поддержки HTMLPurifier и увидел, что ты занят.

Но, возможно, вы пропустили публикацию, опубликованную несколько месяцев назад, в которой касается вашей конкретной проблемы , в частности, ответа:

Полная поддержка документов будет (якобы) прийти некоторое время в Серия HTML Purifier 5.x; мы не на самом деле есть код разбора необходимо на самом деле иметь дело с полным HTML документы.

До этого вы захотите захватить свою голову и DTD и повторно добавить его в очищенный документ.

Answer 2

Вы можете указать HTML Purifier, в каком теге будет находиться очищенный код (по умолчанию это div). Установка значения 'span' блокирует все теги уровня блока. Вы можете поэкспериментировать с установкой «body» или даже «html».

Answer 3

Помните, что вы можете создать XSS-атаку, которая запускается из 'головы'.