私のウェブサイトはブログを許可しています。私はブログの投稿にtextareaを使用しています。私はyoutubeビデオ(iframeタグを許可する必要があります)やimgタグやリンクタグを許可することによって、問題は私はXXS攻撃に対してウェブサイトを保護する必要があり、それはなぜ私はそれらのタグを許可することを恐れている、これを達成するための回避策はありますか?XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか?
<?php
$string = "<b>hello world!</b>";
echo "without filtering:".$string;
echo "<br>";
$filtered = htmlspecialchars($string); // insert into database filtered
echo "After filtering:".$filtered;
echo "<br>";
$de_filtering = htmlspecialchars_decode($filtered); //retrieve from database and display
echo "After de-filtering:".$de_filtering;
?>
それはそれを行うことが可能である:
は、私はこのようなものを使用することができますか?