javascript - 富文本編輯器怎麼防止xss注入？

如果為了防止xss注入過濾了html標籤，富文本編輯器的功能就沒有了，一起過濾了，如果留著html，又不能防xss注入。
正常一般是怎麼處理這個問題的？ ？ ？只過濾 特定標籤？ ？ ？

回覆內容：

如果為了防止xss注入過濾了html標籤，富文本編輯器的功能就沒有了，一起過濾了，如果留著html，又不能防xss注入。
正常一般是怎麼處理這個問題的？ ？ ？只過濾 特定標籤？ ？ ？

HTML Purifier是採用PHP編寫的HTML過濾器,可以搭配WYSIWYG編輯器使用,過濾掉XSS惡意程式碼.

<code><?php
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);</code>

我覺得白名單就好，留著你要用的標籤，其他全部過濾

你的富文本編輯器支援什麼功能就不過濾，其他的過濾就行了唄。難道你收到一個p標籤你還要區分他是用你的編輯器加的還是自己手動加的？

規定要用自己的一套新文法行不？

過濾掉js腳本就行了

入庫的時候 轉義為實體字元
出庫的時候還原。
並過濾掉
<script></script>
javascript:xxx;
這種