Filtres XSS intégrés de Drupal vs. Module de purificateur HTML
Est-ce que le htmlpurifier module Pour Drupal offre une meilleure sécurité contre les XSS (et éventuellement d'autres vulnérabilités) que les fonctionnalités intégrées de Drupal tels que filtre_xss ?
Vous recherchez des conseils sur la raison pour laquelle je devrais utiliser HTMLPurifier Module Pour Drupal Si je suis purement préoccupé par la sécurité (non concerné par la préservation des styles en ligne).
Je fais confiance à la fonction Filter_XSS un peu plus que HTMLpurifier simplement en raison de la complexité du code HTMLPurificateur. Aucune fonction n'est facile à comprendre, mais au moins filtre_xss est plus courte et plus stable.
Il est vrai que HTMLpurifier est une bibliothèque générale utilisée par d'autres systèmes et peut donc avoir "plus d'yeux" dessus. Si vous regardez le Sommaire HTMLPurificateur Ils prétendent que KSES (qui est à l'origine du filtre_xss basé sur) est "probablement" XSS sans danger, mais manque d'autres fonctionnalités de HTMLPurificateur. Le système Drupal gère de nombreuses autres fonctionnalités que HTMLPurificateur mentionne dans ce tableau afin que ce ne soit pas une comparaison des pommes à pommes.
Au fait, vous voudrez peut-être poster des questions comme celle-ci à https://drupal.stackexchange.com/ à l'avenir.