像保护站点免受跨站点脚本(XSS)这样的基本任务正在​​成为一项艰巨的任务,因为它没有最新的净化和安全性.过滤器 – 用于PHP的软件.

HTML Purifier目前不支持HTML5,整体状态看起来很糟糕(HTML5支持不会很快到来).

那么我应该如何使用PHP(后端)清理不受信任的HTML5？

迄今为止的选择……

> HTML Purifier(缺少新的HTML5标签,数据属性等)
>使用strip_tags()和Tidy或PHP的DOM类/函数实现自己的净化器
>使用像http://eksith.wordpress.com/2013/11/23/whitelist-html-sanitizing-with-php/这样的“随机”整洁实现
>谷歌Caja(Javascript / Cloud)
> htmLawed(有支持HTML5的测试版)

还有其他选择吗？ PHP死了吗？