Por lo que yo he dado cuenta de TinyMCE hace su propio escape de meta caracteres, y el uso de htmlspecialchars() después sólo estorbar la salida y mostrar < p> etiquetas y similares en vez de renderizarlos en el navegador. Es fácil desactivar Javascript e ingresar código malicioso que se representará cuando otro usuario con Javascript activado visite el contenido.La protección contra XSS cuando se utiliza TinyMCE
Necesito usar la validación adecuada del lado del servidor, pero exactamente - cómo - ¿puedo hacerlo correctamente teniendo en cuenta las miles de técnicas XSS que hay? ¿Hay alguna manera eficiente que funcione para TinyMCE, como "usar htmlspecialchars() junto con TinyMCE?"
Hasta ahora he hecho una lista blanca de las etiquetas HTML permitidas, reemplazado cualquier javascript: y similares :void dentro del contenido para tratar de proteger contra la línea Javascript como onClick="javascript:void(alert("XSS"));", pero siento que esto no es suficiente.
Cualquier consejo sobre el tema sería muy apreciada, pero recuerde que necesita cierto contenido que se muestra correctamente en la salida, es por eso que uso TinyMCE en el primer lugar. Solo necesito estar protegido contra el XSS.
Además, sobre el tema; ¿Cómo puedo protegerme contra CSS XSS como style="background-image: url(XSS here);"?