Cita:
Iniciado por cocodj69 
Necesito visualizar código html a través de la función html_entity_decode(). El problema es que dicho código proviene de un editor WYSIWYG por parte del usuario existiendo la posibilidad de existir etiquetas script, style, import, ... y así producirse ataques XSS o CSRF.
Me pregunto si la mejor forma de evitar esto es limpiar el código ( eliminando tags maliciosas así como dando estilo a los tags -> style=' ' ) antes de introducirlo en la DDBB o limpiar el código cuando visulizamos el contenido en pantalla?
Un saludo
Jose
Si entendi bien, estas usando
WYSIWYG editor, debes configurarlo, o desde el codigo javascript quita las etiquetas que no desees, como --> style, script, javscript etc etc etc
Normalmente las etiquetas maliciosas bienen desbilitadas, mira que estes usando la ultima version del
WYSIWYG ...
saludos!!!