Я создаю сайт, который позволяет пользователям создавать свои собственные веб-сайты с помощью шаблонов HTML. Какую настройку HTMLPurifier следует использовать для блокировки XSS-атак?
В моей системе шаблонов я бы разрешил им редактировать только определенные части шаблона (т. е. не весь файл HTML, а только его части). Это не позволяет им редактировать тег снаружи, что нормально, но я не хочу, чтобы они использовали javascript в указанных конкретных частях.
Кто-нибудь, у кого уже есть такая настройка HTMLPurifier?