ho trovato all'interno della app "Sinfonia CMS", è molto piccola:Questa funzione è sufficiente per il rilevamento xss?
https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php#L100
e stavo pensando di rubare e usarlo nella mia propria applicazione per disinfettare stringa con HTML per la visualizzazione. Pensi che faccia un buon lavoro?
ps: so che c'è purificatore HTML, ma quella cosa è enorme. Preferirei piuttosto qualcosa di meno permissivo, ma voglio comunque che sia efficiente.
ho testato contro le stringhe da questa pagina: http://ha.ckers.org/xss.html. Ma se fallisce contro "localizzatore XSS 2". Non so come si possa usare quella stringa per hackerare un sito però :)
Dice: "[...] determinerà se * potenzialmente * [è] un attacco XSS". – Gumbo