HTML富文本过滤指南防XSS攻击

富文本编辑场景下，XSS攻击风险极高，前端的DOMPurify等净化手段仅能提升用户体验，绝不能替代服务端过滤；PHP后端必须使用HTMLPurifier或XssHtml类进行严格、可配置的白名单式净化，禁用script/iframe等危险标签及javascript:、data:等协议，并在数据入库和最终渲染两个环节双重净化——因为任何一环的信任缺失都可能让恶意代码直抵用户浏览器，而绕过前端防护只需一次简单的curl POST或禁用JavaScript即可。

富文本场景下，不做服务端 HTML 过滤 = 默认开放 XSS 入口。前端用 DOMPurify 或 sanitizeHTML 只是体验优化，绕过它发个 POST 请求，恶意标签照进数据库、照渲染。

PHP 后端必须用 HTML Purifier 或 XssHtml 类做最终过滤

别信 strip_tags() 或 htmlspecialchars() 能搞定富文本——前者删不干净属性（比如 ），后者直接把整个 HTML 当纯文本转义，用户发的加粗、链接全变源码。