如何处理用户生成的标记中的ASCII转义字符?
我正在使用HTML Purifier,一个PHP“过滤器来防范XSS并确保符合标准的输出”,以清理/标准化用户输入的标记。
这是用户输入标记的示例:
<font face="'Times New Roman', Times">TEST</font>
产生:
<span style="font-family:"Times New Roman", Times;">TEST</span>
我有点困惑,因为"
甚至不是单引号的逃脱字符。这是最好的做法,因为我将在以后使用这个用户生成的内容?
保持原样
净化器执行后,将所有"
替换为'
以不同方式配置HTML Purifier
别的什么?
没有找到相关结果
已邀请:
2 个回复
弛保矮瘦敖
属性中的内容时恰好使用双引号。 它也验证我的罚款。您要验证哪种doctype? 如果我没有忽略某些东西,我会说按原样使用是可以的。
埠仙俊
将转换为
一个简单的就足够了:
但它不会转换&lt; font&gt;标记为&lt; span&gt;。