Fazendo um filtro contra tags html

Ok. Alguém aqui já fez algo parecido?

Tente convencer o uso de BBCODE ou Markdown no lugar de HTML puro. Lembre que o Orkut foi muito explorado e permitia muito menos que HTML puro.

Converse se vc pode restringir as TAGS para um grupo pequeno e controlavel: de repente não faz sentido ter uma tag script ou iframe.

Nessas tags tente restringir ao máximo os atributos permitidos (o link, a , precisa de um atributo href, mas um atributo onClick ou onLoad são arriscados).

Veja se faz sentido existir href para links externos e veja se vc pode trocar para algo semelhante a uma chamada javascript que invoca um alert ou modal dizendo “vc quer mesmo ir para o link www.meusitecomvirus.co.uk ?” - alias por expressão regular vc pode barrar links para javascript:alert(0) e coisas do tipo.

Na duvida troque os < e > por html special chars

Não permita inserir CSS, Javascript, etc. Leia muito sobre XSS e outros tipos de injeção de problemas. Seja Paranoico.

Estime que essa funcionalidade é muito cara e precisa ser feita com atenção, senão babau site. Diga que se estivessem usando BBCODE ou Markdown isso teria menos da metade do custo e velocidade de desenvolvimento.

Então, estou usando expressão regular para substituir as tags maliciosas por caractere vazio. Inclusive consegui implementar o filtro que faz isso. O problema são as restrições. Ou melhor, a restrição. Existe um campo em toda a aplicação que, ao contrário de todos os outros, deve permitir tags html. É um campo q que é utilizado exatamente para isso: escrever textos em html. O problema é esse: como “dizer” ao meu filtro q as requisições daquele campo específico podem passar sem precisar ser filtrado?

[]s.