ckeditor的安全性问题

ckeditor 是一个可视化的编辑工具，当提交时，POST到服务器端的是“HTML代码”，

虽然在客户端的“所见即所得”模式下，会自动过滤一些不安全的代码，但并不能保证服务器端接收到的都是安全的HTML代码，ckeditor 是否提供有服务器端的HTML过滤工具？

回复讨论(解决方案)

客户端提交的数据本来就不是百分百的可靠，服务端做一些验证还是有必要的。

ckeditor 是否提供有服务器端的HTML过滤工具？
想知道这个插件是否有着功能，那你得看下它的源码，分析下就知道的，
但是自己还是要在服务端检测下，避免有bug出现。

感谢楼上两位的回答，确实要执行服务器端的检测。关键是怎么保证html元素的完整性呢？

比如：用户上传不规范的html代码，如：

123

456789

aaa

这些代码和系统原有的代码组合后可能会乱套，但你又不能禁用这些html代码，他们可能是一张图片，一个链接或一些样式，如何避免这种情况的发生？

如果在服务器端也要做这种处理，感觉就是做了个系统一样，难度很大啊，请高人指点~~~

服务器端应该过滤哪些标签呢？比如：






还有哪些是必须过滤的呢？？？

ckeditor 从 sourse 模式 转换成 wusiwug 模式时是执行哪里的文件代码进行过滤的？有知道的高手请说一声啊，谢谢了~~~