potrzebuję zrobić taką możliwość aby strona była bezpieczna od strony xss ale aby użytkownik mógł edytować swoją stronę wykorzystując html we własnym zakresie

zasadniczo wiem że problem nie jest prosty, tutaj jest kilka metod wstawiania kodu z xss: http://ha.ckers.org/xss.html

i znając życie z każdą wersją przeglądarki pojawi się nowy, zresztą to pewnie i tak nie wszystkie metody

chciałbym jednak aby na stronie mimo możliwości wprowadzania kodu HTML nie pojawił się kod umożliwiający atak xss

najchętniej chciałbym zlokalizować ten kod i usunąć, bądź jeśli o to bardzo trudne/niemożliwe, by skrypt wskazywał zagrożone fragmenty, bądź pomagał w jakiś sensowny sposób w moderacji... wiadomo że nie będzie zabawnie przeglądać wszystkich tagów pod kątem podejrzanych, zamaskowanych sztuczek, których przykłady można obejrzeć na podanej stronie powyżej

ma ktoś jakiś pomysł?

Pomoże Ci funkcja strip_tags" title="Zobacz w manualu PHP" target="_manual
Ustal jakie znaczniki może użyć w kodzie użytkownik, a reszta zostanie usunięta.

wg. strony którą podałem wynika że można zrobić nawet taki atak:

i działa to pod IE6.0, Opera 9.02 więc zasadniczo pod każdy tag to można podciągnąć...
przeczytaj listę metod a potem coś zaproponuj...