Модуль Safe HTML — это фильтр, который обрабатывает содержание добавленное пользователями до его сохранения в базе, в отличие от стандартной системы фильтров, когда в базе данных сохраняется весь введённый текст, а фильтрация происходит при его выводе на страницу. Для использования модуля, после его включения, нужно включить его фильтр на странице форматов ввода. Модуль удаляет всё потенциально опасное содержание:

  • открытые теги без закрывающего тега
  • работает с неправильной последовательностью тегов, такой как <p><em>abc</p></em>
  • удаляет такие теги как base, basefont, head, html, body, applet, object, iframe, frame, frameset, script, layer, ilayer, embed, bgsound, link, meta, style, title, blink, xml и т.д.
  • удаляет такие атрибуты как on*, data*, dynsrc
  • удаляет протоколы javascript:,vbscript:,about: и т.д.
  • удаляет в стилях expression/behavior и т.д.
  • удаляет другое активное содержание

Кроме того, модуль пытается исправить код для того, чтобы он соответствовал спецификации XHTML.

Метки: