エンタメ関係のサイトを運営しています。そこで、XSS 攻撃を防ぐために新しい方法を使用することを考えました。次の単語リストを作成しました
alert(, javascript, <script>,<script,vbscript,<layer>,
<layer,scriptalert,HTTP-EQUIV,mocha:,<object>,<object,
AllowScriptAccess,text/javascript,<link>, <link,<?php, <?import,
私のサイトは娯楽に関連しているので、通常のユーザー (悪意のあるユーザーを除く) がコメントでそのような言葉を使用することは期待していません。したがって、ユーザーが送信した文字列から上記のカンマ区切りの単語をすべて削除することにしました。私はあなたのアドバイスを必要とします。これを行った後、htmlpurifier のようなツールを使用する必要はありませんか?
注: htmlspecialchars() はリッチ テキスト エディター (CKEditor) から生成されたタグも変換するため、使用していないため、ユーザー フォーマットはなくなります。