не большой скрипт нужен сколько в он-лайте человек на сайте

_http://www.google.com/search?hl=ru&client=opera&rls=ru&hs=VeZ&q=php+%D1% 87%D0%B5%D0%BB%D0%BE%D0%B2%D0%B5%D0%BA+%D0%BE%D0%B D%D0%BB%D0%B0%D0%B9%D0%BD&btnG=%D0%9F%D0%BE%D0%B8% D1%81%D0%BA&lr=

в 1 сайте даже есть пример...

В общем вопрос по php и безопастности.
К примеру, у меня гостевая книга, пользователь отправляет туда сообщение, но оно никак не фильтруется, для того чтобы была возможность писать HTML кодом, это необходимо в данном проекте.
С этим впридачу мы получаем XSS, собственно есть ли какой нить способ оставить возможность писать HTML кодом но прикрыть конкретно хищение\вывод кукисов?

Для начала я пологал, что надо всего лишь запретить document.cookie в запросе. Но естественно при разных манипуляций с регистром, шифровкой и т.д.. получается очень много комбинаций, выхода я не вижу.
Либо писать с HTML + XSS либо отключить HTML но тогда смысл этого скрипта теряется...
Может быть есть способы защиты от XSS не затрагивая HTML код???

Nightmarе Так ли необходимы ХТМЛ теги, чем ББкоды не угодили?

Nightmarе, а если фильтровать яваскрипты, пропуская при этом другие теги..?!

Про BB я прекрасно в курсе, А ХТМЛ теги нужны все. ну за исключением конечно кукисов =)))

Nightmarе, http://forum.antichat.ru/showpost.php?p=1388847&postcount=8
Может что-то типа этого сделать..?!

Придется резать еще и эвенты, и яваскрипты лучше менять на например Forbidden tag и т.д. что бы не заниматься рекурсией и т.д.
Ps так же придется резать и object/applet ибо из него есть возможность вызвать js код - будь то JAVA или Flash.

nightmare, xss это не только кража кукисов. с активной xss, например, можно сделать фишинг форму для ввода пароля. нужно все скрипты запрещать. фильтрацией. посмотри как на mail.ru в сервисе "мой мир"