سلام این مهمه که این html رو از کی دریافت میکنید
اگر خودتون از بخش پنل مدیریت اینکارو میکنید خوب یا جای میشه مطمئن بود اما اصلاش اینکه این html کدینگش تغییر کنه
با html هم نمیشه یه سیستم رو هک کرد
همینطوری الکی هم نیست
با html نمیشه سیستم رو هک کرد . با جاوا اسکریپت هم نمیشه سیستم رو هک کرد میشه کوکی های کاربر رو دستکاری کرد اگه امنیت اطلاعات پایین باشه کوکی ها رو دزدید .
میتونی فیلتری بزاری که تگ script رو قبول نکنه .
همینطور میتونی مطلب رو که از کاربر دریافت میکنی مستقیما در سایت نمایش ندی . بعد از تایید نمایش بدی .
شما در مرحله اول باید XSS رو روی درخواست ها و سایتت ببندی
مورد دوم محتویات ادیتور رو قبل . از اینکه مستقیم داخل دیتابیس ذخیره کنی از تابع htmlspecialchars() استفاده کن که کد html به صورت کد شده وارد دیتابیس بشه برای مثال :
htmlspecialchars($request['blog_text'])
و موقع نمایش به باید فیلد گرفته شده از دیتابیس رو باد دیکد کنی
با تابع htmlspecialchars_decode()
آیا مایل به ارسال نوتیفیکیشن و اخبار از طرف راکت هستید ؟