Que son los ataques XSS (cross site scripting) y por qué hay que evitarlos es algo esencial que merece un post a parte.

La idea con la que hay que tienes que quedarte, es que si tienes o planeas realizar una página web donde permites que otros usuarios editen o publiquen contenido HTML (ya sea en forma de páginas, comentarios, etc…), debes de alguna manera validar que el contenido HTML que están generando es seguro.

Hay muchas librerias que se encargan de filtrar y validar estos contenidos HTML para asegurarse que la gente que sube contenidos no va a hacer nada malo. Yo por mi parte he estado mirando hace un rato, porque tampoco iba a ponerme a hacer la mía (no es mi objetivo en la vida  sacrificar dos semanas de trabajo si puedo usar algo que ya existe y funciona), y me he encontrado con HTML Purifier, una librería de PHP bastante extensa y con muchisima funcionalidad que se encarga de filtrar codigo maligno.

Utilizarla es muy muy sencillo. Sólo requiere dos lineas (una vez incluido el archivo base).

require_once '/path/to/htmlpurifier/library/HTMLPurifier.auto.php';
 
$purifier = new HTMLPurifier();
$clean_html = $purifier->purify($dirty_html);

Lo bueno de esta libreria, es que se pueden configurar muchisimas cosas, como limitar el número de tags, los atributos por tag, etc… e incluso es capaz de reformatear código html inválido y convertirlo en código válido (tal y como pueden hacen otras librerias como BeautifulSoup en Python o como Tidy HTML para C/C++)

También cabe destacar que en principio esta libreria NO REFORMATEA el código HTML, simplemente se encarga de eliminar o reformatear las partes peligrosas o inválidas.

Seguramente en el futuro vuelva a hacer algún otro post sobre el tema, sin embargo, si teneis ocasion, recomiendo echarle un vistazo al libro Building scalable web sites de Cal Henderson. Aunque seguramente en la wikipedia y googleando un poco encontrareis bastante información.