Я видел платформу Kohana, позволяющую пользователям при желании использовать HTMLPurifier против любых возможных XSS-атак.
Я думал, что HTMLPurifier предназначен для обеспечения стандартного вывода HTML.
Помогает ли это избежать XSS-атак на 100% или, возможно, в значительной степени? Или посоветуете что-то другое.
Спасибо
Что касается каждой возможной части программного обеспечения, она не может быть идеальной, и всегда существует риск того, что кто-то однажды где-нибудь найдет брешь в системе безопасности и воспользуется ею.
Так что никто не скажет вам «это поможет избежать XSS-атак на 100%»…
Но каждый раз, когда я возглавлял HTMLPurifier, это было в отличных условиях — и я успешно использовал его пару раз и буду использовать его снова для некоторых будущих проектов.
Итак, я думаю, что "вероятно, в значительной степени" - ваш ответ ;-)
