У меня есть форма ввода, в которой пользователь может вводить произвольный HTML-код. Что мне нужно отфильтровать, кроме тегов скрипта? Вот что я делаю:
userInput.replace(/<(script)/gi, "<$1");
но дезинфицирующее средство ОМУ (используется здесь на SO) управляет белым списком тегов и отфильтровывает (пропускает) все остальные теги. Почему?
Мне не нравятся белые списки, потому что я не хочу запрещать пользователю вводить произвольные теги, если она того пожелает; но при необходимости я могу использовать более обширный черный список, помимо «скрипта». Что мне нужно в качестве черного списка?