过滤html在线编辑器产生有危害代码

原创 2006年06月07日 23:06:00

部分强大的在线编辑器,已经包含了代码整理,过滤功能,但js处理的能被很轻易的饶过,服务端必须要再次过滤一次,这几天花了点时间,写了部分,希望对大家有点用处,本人能力有限,还请有能力的朋友补全它。

 

/*不需要过滤的数组*/
$htm_on=array(
"<acronym","acronym>",
"<baseFont","baseFont>",
"<button","button>",
"<caption","caption>",
"<clientInformation","clientInformation>",
"<font","font>",
"<implementation","implementation>",
"<button","button>",
"<location","location>",
"<option","option>",
"<selection","selection>",
"<strong","strong>",
"font");

$htm_on_uper=array(
"<ACRONYM","ACRONYM>",
"<BASEFONT","BASEFONT>",
"<BUTTON","BUTTON>",
"<CAPTION","CAPTION>",
"<CLIENTINFORMATION","CLIENTINFORMATION>",
"<FONT","FONT>",
"<IMPLEMENTATION","IMPLEMENTATION>",
"<BUTTON","BUTTON>",
"<LOCATION","LOCATION>",
"<OPTION","OPTION>",
"<SELECTION","SELECTION>",
"<STRONG","STRONG>",
"FONT");

/*字符格式*/
$str=strtolower($str);
$str=preg_replace("//s+/", " ", $str);//过滤回车
$str=preg_replace("/ +/", " ", $str);//过滤多个空格

/*过滤/替换几种形式的js*/
$str=preg_replace("/<(script.*?)>(.*?)<(//script.*?)>/si","",$str);//删除<script>。。。</script>格式,
//$str=preg_replace("/<(script.*?)>(.*?)<(//script.*?)>/si","&lt;//1&gt;//2&lt;//3&gt;",$str);//替换为可以显示的,

$str=preg_replace("/<(script.*?)>/si","",$str);//删除<script>未封闭
//$str=preg_replace("/<(script.*?)>/si","&lt;//1&gt;",$str);//替换未封闭

/*删除/替换表单*/
$str=preg_replace("/<(//?form.*?)>/si","",$str);//删除表单
//$str=preg_replace("/<(//?form.*?)>/si","&lt;//1&gt;",$str);//替换表单

$str=preg_replace("/<(i?frame.*?)>(.*?)<(//i?frame.*?)>/si","",$str);//删除框架
//$str=preg_replace("/<(i?frame.*?)>(.*?)<(//i?frame.*?)>/si","&lt;//1&gt;//2&lt;//3&gt;",$str);//替换框架

/*过滤on事件*/
$str=preg_replace("/href=(.+?)([/"|/'| |>])/ie","'href='.strtoupper('//1').'//2'",$str);//把href=涉及到的on转换为大写。
$str=str_replace($htm_on,$htm_on_uper,$str);//把<font,font>换为大写,dhtml标签字符,正则判断太烦琐,采用转换办法。
$str=preg_replace("/(on[^ /.<>]+?)([ |>])/s","//2",$str);//取掉on事件

/*过滤超级连接的js*/
$str=preg_replace("/(href|src|background|url|dynsrc|expression|codebase)[=:/(]([ /"/']*?/w+/..*?|javascript|vbscript:[^>]*?)(/)?)([ >//])/si","//1='#' //3//4",$str);//取掉href=javascript:

//返回小写字符
$str=strtolower($str);
$str=str_replace("&","&#x26;",$str);

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

编辑器。以及过滤成安全的HTML代码

1.编辑器使用 提取的校内网的编辑器2.过滤成安全的HTML代码:PHPfunction h($text){$text = trim($text);$text = stripslashes($text...
  • yfgcq
  • yfgcq
  • 2011-06-24 11:48
  • 608

HTML在线编辑器

====================================================== 注:本文源代码点此下载 =============================...

在线HTML编辑器——ueditor,跟struts2结合

如果你在struts2下面使用上一篇的配置的话,还是不够的。 因为  struts2  会把  ueditor  的上传路径给过滤掉,导致不能正常上传。 还要做的也不多,写一个过滤器就行了...

HTML在线编辑器。。一看就会的

HTML在线编辑器(HTML online editor) 在Web程序应用中,最常见的一种是信息和言论的发布和交流。 在信息发布的同时,往往需要对发布的数据进行格式的转换,才能使信息以用户需要的...

html在线编辑器

1、HTML在线编辑器(HTML online editor) 1)在Web程序应用中,最常见的一种是信息和言论的发布和交流。 2)在信息发布的同时,往往需要对发布的数据进行格式的转换,才能使...

25个基于浏览器的HTML在线编辑器集合

====================================================== 注:本文源代码点此下载 =============================...

KindEditor在线HTML文本编辑器在asp.net中的使用

KindEditor在线HTML文本编辑器在asp.net中的使用

FCKeditor html在线编辑器

FCKeditor介绍  FCKeditor是一个功能强大支持所见即所得功能的文本编辑器,可以为用户提供微软office软件一样的在线文档编辑服务。它不需要安装任何形式的客户端,兼容绝大多数主流浏览器...

用Javascript 编写 HTML在线编辑器

在线编辑器主要有3大类:1.直接用textarea 标签 优点:速度快,提交方便,可以用UBB标签来弥补不能所见所得 缺点:不直观,功能非常少 2.用 DIV或者TABLE的CONTENTEDI...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)