Buenas.
Disculpen, estoy en pleno desarrollo de un portal web de noticias y cuyas publicaciones se hacen mediante editor WYSIWYG que me proporciona, ademas las etiquetas html con todas sus caracteristicas, como por ejemplo
Código:
<img src="http://www.host-de-mi-imagen.com/mi-imagen.gif" style="width: 561.721px; height: 261px;">
que me cargaria la imagen con el ancho y alto especificado dentro de la etiqueta IMG
pero, si edito en modo CODE en mi editor y coloco
Código:
<script>alert('algun mensaje que no deberia estar');</script>
el script se ejecutaria cada vez que sea mostrado el contenido del post y lógico seria un ataque XSS (sencillo pero lo es).
Mi pregunta es como creen que deberia protejerme de los ataques XSS sabiendo que necesito almacenar mis etiquetas html ?
he pensado en eliminar toda etiqueta <script> dentro del contenido, pero estaria haciendo todo bien en eliminar solo esa etiqueta script? ¿dejo puertas abiertas para ataque xss?¿cual seria la forma correcta?