como puedo protegerme de esto si tiene que pasar una web entera por el $_POST, me da igual bloquear el <iframe></iframe> y el <frame></frame> y el <frameset></frameset> este es el link donde salen, me parece que no se me escapa ninguna:
http://librosweb.es/xhtml/capitulo_2/etiquetas_y_atributos.htmlpor el $_POST tiene que pasar toda una web y claro si no quito esas etiquetas me pueden hacer ataques de todo tipo, el XSS me da =
prueba.php
<html>
<head>
</head>
<body>
<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>
</body>
</html>
prueba2.php
<?php
header('X-XSS-Protection: 0');
$texto = $_POST["texto"];
echo $texto;
?>
y luego introduzco esto que podria estar fuera del servidor el .php:
<html><head></head><body><iframe src="prueba6.php" width="1000px" height="1000px"></iframe></body></html>
prueba6.php = archivo alojado fuera del servidor
<?php
//system("ls");
$file = readfile("filter_var.php");
echo $file;
?>
y se veria el codigo fuente de cualquier archivo del servidor,modificaciones,etc,nose que puedo hacer, hecharme una mano x favor,gracias