lo encontré dentro de la aplicación "sinfonía CMS", que es muy pequeña:¿Es esta función suficiente para la detección de xss?
https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php#L100
Y yo estaba pensando en robar y usarlo en mi propia aplicación para desinfectar cadena con HTML para su visualización. ¿Crees que hace un buen trabajo?
ps: Sé que hay un purificador de HTML, pero eso es enorme. Y prefiero algo menos permisivo, pero aún quiero que sea eficiente.
He estado probando contra las cuerdas de esta página: http://ha.ckers.org/xss.html. Pero si falla contra "XSS locator 2". No estoy seguro de cómo alguien puede usar esa cadena para hackear un sitio :)
Dice: "[...] determinará si * potencialmente * [es] un ataque XSS". – Gumbo