Ho visto il framework Kohana che consente agli utenti di utilizzare opzionalmente HTMLPurifier contro eventuali attacchi XSS.HTMLPurifier è davvero a prova di proiettile?
Pensavo che HTMLPurifier intendesse consentire l'output conforme allo standard dell'HTML.
Aiuta ad evitare gli attacchi XSS al 100% o probabilmente in grande misura? O suggeriresti qualcos'altro.
Grazie
Per quanto riguarda ogni possibile pezzo di software, non può essere perfetto , e c'è sempre il rischio che qualcuno da qualche parte uno giorno riesce a trovare un buco di sicurezza e di sfruttarlo.
Quindi, nessuno vi dirà "che contribuire ad evitare XSS attacca al 100%" ...
Ma, ogni volta che ho la testa di HTMLPurifier, era in ottime condizioni - e io L'ho usato con successo un paio di volte e lo useremo ancora per alcuni progetti futuri.
Quindi, penso che "probabilmente per gran parte" è la vostra risposta ;-)