Tengo un ejercicio para parchar una versión anterior de mi trabajo de la clase electrónica de la universidad. Está escrito en PHP y requiere la versión 5.3.27. Una de las cosas que quiero parchear es prevenir el XSS. El sitio utiliza un editor antiguo (xinha) que admite entradas HTML sin ninguna validación, por lo que XSS es extremadamente fácil de hacer.
No tengo permiso para cambiar el editor, así que tengo la intención de cambiar la validación del lado del servidor antes de usar / almacenar la entrada del usuario para bloquear las funciones de eventos (como onerror, onmouseover, etc.) y JavaScript. Después de algunas investigaciones no encontré ninguna forma (infalible) de filtrar JavaScript de HTML. Bloquear caracteres especiales de HTML no funcionará para mí porque romperá las etiquetas HTML. ¿Alguna idea?