Sto facendo un esercizio per ricucire una versione precedente del mio lavoro dalla e-class universitaria. È scritto in PHP e richiede la versione 5.3.27. Una delle cose che voglio applicare è prevenire l'XSS. Il sito utilizza un vecchio editor (xinha) che supporta l'input HTML senza alcuna validazione, quindi XSS è estremamente facile da fare.
Non sono autorizzato a modificare l'editor, quindi ho intenzione di modificare la convalida del server prima di utilizzare / memorizzare l'input dell'utente per bloccare le funzioni degli eventi (come onerror, onmouseover ecc.) e JavaScript. Dopo un po 'di ricerche, non ho trovato alcun modo (infallibile) per filtrare JavaScript da HTML. Il blocco di caratteri speciali HTML non funzionerà per me perché romperà i tag HTML. Qualche idea?