[TYPO3-german] htmlpurifier und typo3

[Wenzel Dirk]

Hallo,

bei der Arbeit an einer Extension habe ich mir folgende Fragen gestellt:
1. wie kann man Benutzereingaben in Formularen gegen Cross-Site-Scripting absichern.
2. wie kann man für sauberes HTML sorgen, wenn im Eingabefeld HTML erlaubt sein soll.

Ein Kollege verwies mich auf http://htmlpurifier.org/
Unter http://htmlpurifier.org/comparison diskutiert der Autor verschiedene Methoden der Filterung und Validierung von HTML. 
Dabei schneidet die php-Funktion strip_tags() ausgesprochen schlecht ab. 
Wenn ich es richtig verstehe, ist strip_tags() eigentlich nur dann sicher, wenn _keinerlei_ tags erlaubt werden. (Sicher bin ich mir da allerdings nicht).

Die beschriebenen Leistungen von htmlpurifier sind dagegen recht beeindruckend:
- Whitelist: 			Yes
- Removes foreign tags: 	Yes
- Makes well-formed:		Yes
- Fixes nesting:			Yes
- Validates attributes:	Yes
- XSS safe:			Yes
- Standards safe:		Yes
- UTF-8 aware:			Yes
- Object-Oriented:		Yes
- Validates CSS:		Yes
- Tables:				Yes
- PHP 5 only:			Yes
- E_STRICT compliant:	Yes
- Can auto-paragraph: 	Yes
- Extensible:			Yes
- Unit tested:			Yes

Die verwendete Library ist allerdings ziemlich schwergewichtig und htmlpurifier verlangt Schreibzugriff auf eigene cache files.


Hier meine Fragen:
1. Gibt es Ansätze, htmlpurifier in Typo3 zu integrieren (als Extension oder in den core). Ich konnte dazu nichts finden.
2. Hat jemand Erfahrungen mit htmlpurifier in typo3?
3. Welche anderen Methoden für die oben beschrieben Aufgaben gibt es?

Herzliche Grüße
Dirk