论坛程序既要支持富文本，又要防止 XSS，有没有现成的过滤类使用？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3403 天前的主题，其中的信息可能已经有所发展或是发生改变。

这个问题纠结了好久，至今没有找到合适的解决办法。

能否有老司机带一下路。

不能用Markdown，用户应该听都没听过这个语法，纯文本的话，太单调了。

我用PHP

文本

Markdown

XSS

14 条回复 • 2015-07-25 10:56:15 +08:00

xiaojj

2015-07-24 16:59:00 +08:00

kses

yahoo21cn

2015-07-24 16:59:45 +08:00

换django

fwrq41251

2015-07-24 17:01:18 +08:00

https://code.google.com/p/owasp-esapi-php/

geeglo

2015-07-24 17:08:11 +08:00

@yahoo21cn 还没PHP用的熟练，换不动。

g0thic

2015-07-24 17:46:37 +08:00

是说编辑器嘛？ http://ckeditor.com/ 可以看看

mcfog

2015-07-24 17:54:06 +08:00

ubb

如果一定要走html的话，去drupal之类的地方找xss类就好

kungfuchicken

2015-07-24 19:33:57 +08:00

你需要的是htmlpurifier，它可以让你安全使用html标签又不会被XSS
http://htmlpurifier.org/

guchengf

2015-07-24 21:36:14 +08:00

http://jsxss.com/en/index.html

otakustay

2015-07-24 22:55:46 +08:00

用户不关心语法，只关心有多少功能，所以编辑器好的话你依旧可以不用HTML
推荐BBCode为基础的编辑器，都有比较成熟的方案

qsl0913

2015-07-24 23:00:24 +08:00

非常同意楼上的

pubby

2015-07-25 00:15:26 +08:00

很久以前，我是这么干的：

tidy扩展
走一遍文档树，危险的标签砍掉，危险的属性砍掉，重新合成html，保存入库。

takashiki

2015-07-25 07:14:23 +08:00 via Android

@guchengf

takashiki

2015-07-25 07:14:48 +08:00 via Android

@takashiki 手滑

lianyue

2015-07-25 10:56:15 +08:00

https://github.com/lian-yue/dom

php 写的html dom 解析器和 css解析器