论坛程序既要支持富文本，又要防止 XSS，有没有现成的过滤类使用？

2015-07-24 16:57:03 +08:00

geeglo

这个问题纠结了好久，至今没有找到合适的解决办法。

能否有老司机带一下路。

不能用Markdown，用户应该听都没听过这个语法，纯文本的话，太单调了。

我用PHP

2918 次点击

所在节点

问与答

14 条回复

xiaojj

2015-07-24 16:59:00 +08:00

kses

yahoo21cn

2015-07-24 16:59:45 +08:00

换django

fwrq41251

2015-07-24 17:01:18 +08:00

https://code.google.com/p/owasp-esapi-php/

geeglo

2015-07-24 17:08:11 +08:00

@yahoo21cn 还没PHP用的熟练，换不动。

g0thic

2015-07-24 17:46:37 +08:00

是说编辑器嘛？ http://ckeditor.com/ 可以看看

mcfog

2015-07-24 17:54:06 +08:00

ubb

如果一定要走html的话，去drupal之类的地方找xss类就好

kungfuchicken

2015-07-24 19:33:57 +08:00

你需要的是htmlpurifier，它可以让你安全使用html标签又不会被XSS
http://htmlpurifier.org/

guchengf

2015-07-24 21:36:14 +08:00

http://jsxss.com/en/index.html

otakustay

2015-07-24 22:55:46 +08:00

用户不关心语法，只关心有多少功能，所以编辑器好的话你依旧可以不用HTML
推荐BBCode为基础的编辑器，都有比较成熟的方案

qsl0913

2015-07-24 23:00:24 +08:00

非常同意楼上的

pubby

2015-07-25 00:15:26 +08:00

很久以前，我是这么干的：

tidy扩展
走一遍文档树，危险的标签砍掉，危险的属性砍掉，重新合成html，保存入库。

takashiki

2015-07-25 07:14:23 +08:00

@guchengf

takashiki

2015-07-25 07:14:48 +08:00

@takashiki 手滑

lianyue

2015-07-25 10:56:15 +08:00

https://github.com/lian-yue/dom

php 写的html dom 解析器和 css解析器

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/208094

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.