我正在使用HTMLPurifier检查整个HTML文档中的XSS.问题在于,它似乎会清除< body>内部没有的所有内容.标签.但是,我想保留一切,只是注意严重的XSS攻击.

关于如何允许< HTML>,< HEAD>,< META>的任何想法,等等.？

解决方法:

大卫,我刚刚在HTMLPurifier支持论坛上搜索,发现您很忙.

但是也许您错过了几个月前发布的addresses your exact issue,特别是回复：

Full document support will
(ostensibly) come some time in the
HTML Purifier 5.x series; we don’t
actually have the parsing code
necessary to actually deal with full
HTML documents.

在此之前,您将需要捕获您的头部和DTD,然后将其重新添加到纯化的文档中.