HTML purifier, per proteggersi dagli exploit XSS

HTML purifier, contro il cross site scriptingPer chi si occupa di creare siti ed applicazioni web, il passaggio dalla fruizione passiva da parte degli utenti a forme più attive di interazione ha aumentato però il rischio di exploit XSS (Cross-site scripting), dai più semplici e divententi (clamorosi i casi di Italia.it, alcuni non ancora risolti) a quelli con un intento criminale.

Come prevenire che gli utenti possano iniettare javascipt o inserire HTML malformato mentre permettiamo l'inserimento di tanti elementi complessi? Come inserire HTML dentro i feed RSS senza preoccuparci di incasinare il parsing XML?

Una risposta non definitiva ma abbastanza robusta può essere quella di usare HTML Purifier, una libreria in PHP che permette di rendere i vostri HTML nello standard W3C, eliminando una buona quantità di rischi.
I più scaltri potranno mettere questa libreria alla prova nella sezione demo.
La nuova versione 2.0 introduce anche delle API avanzate che permettono di integrare la libreria con nuovi elementi e attributi.

[via Chris Shiftlett]

  • shares
  • Mail
2 commenti Aggiorna
Ordina: