potrzebuję zrobić taką możliwość aby strona była bezpieczna od strony xss ale aby użytkownik mógł edytować swoją stronę wykorzystując html we własnym zakresie
zasadniczo wiem że problem nie jest prosty, tutaj jest kilka metod wstawiania kodu z xss: http://ha.ckers.org/xss.html
i znając życie z każdą wersją przeglądarki pojawi się nowy, zresztą to pewnie i tak nie wszystkie metody
chciałbym jednak aby na stronie mimo możliwości wprowadzania kodu HTML nie pojawił się kod umożliwiający atak xss
najchętniej chciałbym zlokalizować ten kod i usunąć, bądź jeśli o to bardzo trudne/niemożliwe, by skrypt wskazywał zagrożone fragmenty, bądź pomagał w jakiś sensowny sposób w moderacji... wiadomo że nie będzie zabawnie przeglądać wszystkich tagów pod kątem podejrzanych, zamaskowanych sztuczek, których przykłady można obejrzeć na podanej stronie powyżej
ma ktoś jakiś pomysł?