在一个web项目中，我们使用PHP中的OWASPESAPI进行输出编码。在某些时候，我们希望允许HTML的子集用于小格式选项(例如和)，同时不允许所有其他标签和特殊字符(因此它们使用&...;语法进行实体编码)。我看到了以下实现这一目标的可能性:告诉theOWASPESAPIencoder将这些标签列入白名单/允许这些标签，以便它只正确编码所有其他HTML标签和实体。但这似乎不被支持。然而，我们可以(也许)编写一个允许这样做的补丁。在使用ESAPI编码后解码白名单标签。这会受到攻击吗？为此用例使用其他一些输出编码技术。还有其他图书馆吗？特别是，我需要将以下标签和属性列入白名单:++请注

在一个web项目中，我们使用PHP中的OWASPESAPI进行输出编码。在某些时候，我们希望允许HTML的子集用于小格式选项(例如和)，同时不允许所有其他标签和特殊字符(因此它们使用&...;语法进行实体编码)。我看到了以下实现这一目标的可能性:告诉theOWASPESAPIencoder将这些标签列入白名单/允许这些标签，以便它只正确编码所有其他HTML标签和实体。但这似乎不被支持。然而，我们可以(也许)编写一个允许这样做的补丁。在使用ESAPI编码后解码白名单标签。这会受到攻击吗？为此用例使用其他一些输出编码技术。还有其他图书馆吗？特别是，我需要将以下标签和属性列入白名单:++请注