Attualmente sono in un progetto con un frontend PHP. Siamo piuttosto preoccupati per la sicurezza, perché avremo un sacco di utenti e siamo un obiettivo attraente per gli hacker. I nostri utenti sono in grado di inviare contenuti formattati in HTML che sono visibili agli altri utenti in seguito. Questo è un grosso problema perché siamo vulnerabili per l'intero set di attacchi XSS. Stiamo filtrando nel miglior modo possibile, ma la varietà di vettori di attacco è piuttosto grande.Esistono buoni filtri HTML basati su PHP?
Quindi, sto cercando soluzioni di sanitizzazione/filtraggio HTML basate su PHP. Le soluzioni commerciali vanno bene (anche preferite). Attualmente stiamo usando un purificatore HTML modificato, ma non siamo soddisfatti dei risultati.
Quali sono alcune buone librerie/strumenti in grado di filtrare parti dannose di HTML?
È bello avere ad esempio la consapevolezza HTML5, che diventerà un incubo per la sicurezza una volta disponibile "in the wild".
Aggiornamento: Stiamo eseguendo una configurazione approfondita di HTML Purifier. Sembra che il vecchio framework che abbiamo usato prima non fosse affatto configurato. Ora i risultati sembrano molto migliori.
Qualche possibilità è possibile utilizzare un linguaggio di markup semplificato (come lo stackoverflow utilizza con Markdown) che consente a ** tu ** di decidere quali tag effettivamente vengono presentati? – Nicole
Inoltre, penso che ci siano 6 voti per la domanda e nessun voto per nessuna delle 5 risposte (in questo momento), rafforza l'idea che non ci siano buone soluzioni a questo problema con l'approccio del filtro HTML. – Nicole
Siamo a favore dell'uso di alcuni linguaggi di "markup" semplificati, ma non possiamo controllare tutti i possibili canali in entrata e alcuni clienti utilizzeranno software che è in grado di html o testo in chiaro e la possibilità di convincerli e alcuni stakeholder sul nostro lato che questo è un approccio usabile è piuttosto piccolo :-( –