HTMLPurifier विभिन्न उद्देश्यों की सेवा कर रहा है। HTMLPurifier HTML से बच नहीं है ... ठीक है, बिल्कुल नहीं। यह एक कॉन्फ़िगरेशन लेता है जो आप इसे देते हैं जो परिभाषित करता है कि HTML में क्या अनुमति है और क्या नहीं है, और यह उस पर आधारित है। परिणाम वास्तव में अभी भी एचटीएमएल है, कुछ चीजों को हटाया/sanitized के साथ।
बच() कि दूसरी तरफ HTML निकाय में HTML की तरह पात्रों घूम रहा है, ताकि वे बजाय HTML के रूप में व्याख्या की जा रही ब्राउज़र में एक ही वर्ण प्रस्तुत करना (जैसे &
->&
, <
-><
, >
->>
और इसी तरह)।
विभिन्न लक्ष्य।
क्या यह आपको एक्सएसएस मुद्दों से बचाता है? हां, लेकिन सुनिश्चित करें कि आपने अपने चरित्र एन्कोडिंग को सही तरीके से कॉन्फ़िगर किया है।