有基于PHP的 HTML净化器 ,我自己还没有使用过,但是听说过很好的东西。他们承诺很多:
HTML Purifier是用PHP编写的符合标准的HTML过滤器库。HTML
Purifier不仅会使用经过全面审核,安全且允许的白名单删除所有恶意代码(更名为XSS),还将确保您的文档符合标准,这只有在全面了解W3C规范的情况下才能实现。
即使它不是基于Python的,也值得一试。更新:@Matchu发现了一个基于Python的替代方案,看起来也不错。
但是,您会遇到很多非常困难的情况,只是考虑一下Flash嵌入。另外,对恶意使用的
position:absolute追踪非常困难(有些恶意软件
position: relative可以达到相同的效果,但又是一个完全合法的布局工具。)也许您可以查看一下-
例如-eBay允许和不允许吗?如果有人具有必要的经验,可以从数以百万计的示例中了解什么是危险,什么不是,那么他们就可以了。
在eBay上的相关资源:
HTML和Javascript 以及示例
****但是,尚不清楚 站点干扰 是什么,只是被禁止,什么被过滤
根据我的发现,他们似乎没有发布其内部HTML黑名单,但是如果找到了禁止的代码,则会输出一条错误消息。(这也许是他们的明智之举,但不幸的是,出于此问题的目的。)
