Php HTMLPurifier，检查整个HTML文档

我使用HTMLPurifier检查整个HTML文档中的XSS。问题是它似乎去掉了

标记之外的任何东西。但是，我想保留一切，只是要注意严重的XSS攻击

---

你知道如何允许

，

，

等吗？

记住，你可以构造一个从“头”运行的XSS攻击。

大卫，我刚刚在HTMLPurifier支持论坛上搜索了一下，发现你一直很忙

但也许你错过了几个月前的帖子，特别是回复：

将提供全面的文件支持 （表面上）将来某个时候来 HTML净化器5.x系列；我们没有 实际上有解析代码 有必要实际处理全部问题 HTML文档

---

在此之前，您需要捕获头部和DTD并将其重新添加到净化文档中。

您可以告诉HTML净化器净化代码将包含在哪个标签中（默认为“div”）。将此设置为“span”将阻止所有块级标记。您可以尝试将其设置为“body”，甚至设置为“html”