在将某些HTML标记转义为XSS后，请转义它们

<b>bold text</b>

<b>

</b>

<b></b>

        逃脱是必经之路。如果仅将几个要从html转义转换的标记列入白名单，那么您将不会遇到XSS漏洞。 解决方案标记对此没有任何优势，因为许多失败的BBcode解析器都证明了这一点。 （不过，代替来回转换可能更明智的是使用HTMLPurifier。）     ,        如果数据库中的HTML标记来自您不信任的用户，则应授予他们访问标记或类似的“安全”编辑环境的权限，以便他们可以准备所需的标记，并且不允许他们注入HTML。 尝试执行选择性过滤通常是错误的，并且会错失攻击者可以注入恶意代码的方式。因此，不要让他们编写原始HTML。     ,        

htmlspecialchars_decode()

与

htmlspecialchars()

相反。可以取消转义，但是没有用于限制标签的参数。 如果the7ѭ是由用户编写的，则不是个好主意:)     ,        您可以使用HTMLPurifier库，该库将处理转义等所需的所有工作。这是一个很好的视频，解释了如何将其安装到zend框架中 http://www.zendcasts.com/htmlpurifier-integration/2011/05/     ,        尝试在第二个参数中使用strip_tags是$ allowable_tags     ,        使用Zend_Filter_StripTags类，并使用以下键作为数组作为构造函数的参数： \'allowTags \'=>允许的标签 \'allowAttribs \'=>允许的属性 第二部分允许您修剪所有不必要的属性，例如\'onClick \'等，它们可能像

<script>

代码一样危险，但是您可以将\'src \'保留为

<img>

或将''href \'保留为

<a>

    ,        创建您自己的视图助手，或者也可以在控制器中使用setEscape（）参见http://framework.zend.com/manual/en/zend.view.scripts.html#zend.view.scripts.escaping