docs/enduser-security.txt

   1
   2 Security
   3
   4 Like anything that claims to afford security, HTML_Purifier can be circumvented
   5 through negligence of people. This class will do its job: no more, no less,
   6 and it's up to you to provide it the proper information and proper context
   7 to be effective. Things to remember:
   8
   9 1. Character Encoding: see enduser-utf8.html for more info.
  10
  11 2. Doctype: document pending feature completion
  12 Not strictly necessary, actually. More in-depth discussion once we figure
  13 out how to get strict loose mode working.
  14
  15 3. IDs: see enduser-id.html for more info
  16
  17 4. Links: document pending feature completion
  18 Rudimentary blacklisting, we should also allow only relative URIs. We
  19 need a doc to explain the stuff.
  20
  21 5. CSS: document pending
  22 Explain which CSS styles we blocked and why.