ユーザーが提供したすべての入力が他のユーザーのチャット ボックスに表示されるため、ユーザーが提供した入力からすべての html およびクロス サイト スクリプティングのエクスプロイトを削除したいと考えています。
提供された入力を、データベースに挿入する前に htmlpurifier などのフィルターを介して実行する予定です。その後の各データベース読み取りでは、それをフィルター処理する必要はありません。
htmlpurifier は過剰に思えますが、クロスサイト スクリプティングのエクスプロイトが使用されないようにするために必要なのでしょうか? ただし、そのフィルターを使用しても、次のようなものを取り除く方法はわかりません。
<img src="http://example.com" />
入力から。
私がやりたいことができるツール/クラス/関数はありますか? (すべての html を削除し、XSS エクスプロイトを削除します) これはサイト全体ではなくチャットボックスのみを対象としていることを念頭に置いてください。ただし、チャットボックスには多くの同時ユーザーがいるため、高速である必要があります。
ありがとう。