Встроенные фильтры xss от Drupal по сравнению с модулем очистки HTML
Обеспечивает ли модуль htmlpurifier для Drupal лучшую защиту от xss (и, возможно, других уязвимостей), чем встроенные функции Drupal, такие как filter_xss?
Ищу некоторые рекомендации о том, почему я должен использовать модуль htmlpurifier для Drupal, если меня интересует исключительно безопасность (а не сохранение встроенных стилей).
1 answers
Я доверяю функции filter_xss немного больше, чем htmlpurifier, просто из-за сложности кода htmlpurifier. Ни одна из функций не проста для понимания, но, по крайней мере, filter_xss короче и стабильнее.
Это правда, что htmlpurifier - это общая библиотека, используемая другими системами, и поэтому на нее может быть обращено "больше внимания". Если вы посмотрите на Краткое описание HTMLPurifier, они утверждают, что kses (на котором изначально основывался filter_xss) "Вероятно" безопасен для XSS, но упускает из виду другие функции HTMLPurifier. Система формата ввода Drupal обрабатывает многие другие функции, которые HTMLPurifier упоминает в этой таблице, поэтому это не сравнение яблок с яблоками.
Кстати, возможно, вы захотите задать такие вопросы https://drupal.stackexchange.com / в будущем.