Laravel—Purifier扩展包防止XSS攻击

最新推荐文章于 2024-05-12 10:05:52 发布
最新推荐文章于 2024-05-12 10:05:52 发布
阅读量1.3k 收藏
点赞数
分类专栏: Laravel

HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击。

针对XSS跨站攻击,一般有两种方法避免

  1. 对用户提交的数据进行过滤
  2. 对显示数据进行特殊处理,一般用htmlspecialchars()实体化处理

laravel的blade引擎中{{ }}会自动调用PHP的htmlspecialchars()来避免XSS攻击,而HTMLPurifier就是第一种方法,其实就类似于白名单机制,不在白名单的内容会被过滤掉

具体可以查看官网:http://htmlpurifier.org/

1、安装

composer require "mews/purifier:~2.0"

2、生成配置文件

php artisan vendor:publish --provider="Mews\Purifier\PurifierServiceProvider"

3、更改配置文件,定义过滤机制

return [
    'encoding'      => 'UTF-8',
    'finalize'      => true,
    'cachePath'     => storage_path('app/purifier'),
    'cacheFileMode' => 0755,
    'settings'      => [
        'user_topic_body' => [
            'HTML.Doctype'             => 'XHTML 1.0 Transitional',
            //信任的html元素,
            'HTML.Allowed'             => 'div,b,strong,i,em,a[href|title],ul,ol,ol[start],li,p[style],br,span[style],img[width|height|alt|src],*[style|class],pre,hr,code,h2,h3,h4,h5,h6,blockquote,del,table,thead,tbody,tr,th,td',
            //信任的css属性
            'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,margin,width,height,font-family,text-decoration,padding-left,color,background-color,text-align',
            'AutoFormat.AutoParagraph' => true,
            'AutoFormat.RemoveEmpty'   => true,
        ],

    ],

];

4、使用

通过辅助函数clean()来过滤未在白名单里的元素

class TopicObserver
{
    public function saving(Topic $topic)
    {
        $topic->body=clean($topic->body,'user_topic_body');
        $topic->excerpt=make_excerpt($topic->body);
    }
}
leon.han
关注
专栏目录
Laravel开发-purifier
08-28
Laravel开发-purifier Laravel 5的HTM净化器组件
HTMLPurifier laravel 过滤输入文本防止XSS攻击安装使用
lhw413的博客
06-28 3957
Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展集成 HTMLPurifier 防止 XSS 跨站攻击。 1、安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。
推荐使用:Laravel HTMLPurifier
最新发布
gitblog_00094的博客
05-12 409
推荐使用:Laravel HTMLPurifier PurifierHTMLPurifier for Laravel 5/6/7/8/9/10项目地址:https://gitcode.com/gh_mirrors/pu/Purifier 在创建网页应用时,确保用户输入的安全性至关重要。Laravel HTMLPurifier 是一个为 Laravel 框架设计的轻量级服务提供者,它可以轻松集成 ...
Laravel防范xss攻击
Sumshine12.5
04-10 2919
XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 解决办法:永远不要信任用户提交得数据。 这里我们通过HTMLPuifier for Laravel 对用户提交的内容过滤 安装HTMLPurifi...
Laravel5中防止XSS跨站攻击的方法
10-21
本文将详细探讨如何在Laravel5中使用Purifier扩展集成HTMLPurifier防止XSS跨站攻击。 首先,我们要了解HTMLPurifier是一个用PHP编写的富文本HTML过滤器库,它能够净化HTML代码,阻止不安全的HTML标签和属性以及...
Laravel开发-laravel-purifier
08-28
`laravel-purifier` 是一个针对 Laravel 5 的扩展,它集成了 `HTMLPurifier` 库,用于清理和净化用户输入的 HTML,防止跨站脚本(XSS)攻击。这个库的主要目标是确保用户生成的内容不会破坏网站的安全性或结构。 **...
Laravel开发-laravel-purifier .zip
10-05
Laravel Purifier则是Laravel生态系统中的一个扩展,用于过滤和清理HTML及CSS,以防止跨站脚本(XSS)攻击。 首先,我们需要理解XSS攻击的本质。这种攻击方式是通过注入恶意代码到网页上,从而在用户的浏览器上...
净化器:Laravel 5678HTMLPurifier
02-03
适用于Laravel 5/6/7/8HTMLPurifier 一个简单的服务提供商,其中括的 。 用于Laravel 4的 通过在项目的composer.json需要mews/purifier软件,可以通过安装此软件: { " require " : { " laravel/framework " : " ~5.0 " , " mews/purifier " : " ~3.0 " , } } 要么 需要使用composer的此软件: composer require mews/purifier 使用composer updat
Laravel开发-purify
08-27
Laravel开发-purify Laravel 5的HTML净化器
purify:用于LaravelHTML Purifier Sanitizer
02-02
净化 Purify是用于LaravelHTML输入清理器。 它使用了 。 要求 PHP> = 7.1 Laravel> = 5.5 安装 要安装Purify,请在项目的根目录中运行以下命令: composer require stevebauman/purify 然后,使用以下命令发布配置文件: php artisan vendor:publish --provider= " Stevebauman\Purify\PurifyServiceProvider " 如果您使用的是Lumen,则应手动复制配置文件purify.php ,并将此行添加到bootstrap / app.php中: $ app -> register ( Stevebauman \ Purify \ PurifyServiceProvider ::class); 用法 清洁琴弦 要清除用户输入,只需使用clean方法: $ input = '[removed]alert("Harmful Script");[removed] <p style="a style" class="a-different
【转】Laravel 防止XSS攻击
范特西的博客
01-16 8335
目前我们的项目中存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用
HTMLPurifier:安全HTML过滤与清理的利器
gitblog_00060的博客
03-22 556
HTMLPurifier:安全HTML过滤与清理的利器 htmlpurifierStandards compliant HTML filter written in PHP项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨...
PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 1万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击! HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier
Class 'Mews\Captcha\CaptchaServiceProvider' not found
leedaning的专栏
07-22 6769
问题:FatalErrorException in ProviderRepository.php line 150:Class 'Mews\Captcha\CaptchaServiceProvider' not found 今天从git服务器上下载了最新的代码,因为项目中用到了的有验证码,所以向用Larabel框架开发的程序中增加了验证码的依赖组件。出现这个问题是因为程序中用到了该组件,但是我本地
laravel框架使用富文本
ouxiaoxian的博客
02-28 1978
添加页面显示富文本样式(将下面代码直接复制到添加页面,插件已安装好了) &lt;div class="row cl"&gt; &lt;label class="form-label col-xs-4 col-sm-2"&gt;&lt;span class="c-red"&gt;*&lt;/span&gt;内容:&lt;/label&gt; &lt;d
PHP下富文本HTML过滤器:HTMLPurifier使用教程
m0_62089210的博客
11-05 1254
第一个参数就是需要配置的属性,第二个参数就是属性的值,第三个参数具体是做什么用的我也还没有搞明白,不过一般都没有用过,等有时间了再慢慢儿来研究研究。在官方文档中,点击一个属性后,可以看到对这个属性的解释,会告诉你这个属性的值的类型(Type)是String、Int、Array、Boolen……当然了,HTMLPurifier的过滤功能非常强大的,每一个点都要写到那也不现实,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!比如我要配置允许的html标签,比如说p标签和a标签,可以如下配置。
Yii框架防止SQL注入与XSS攻击技术笔记
"这篇文章是关于Yii框架防止SQL注入和跨站脚本(XSS)攻击的笔记,作者有多年的开发经验。主要介绍了如何处理用户输入,防止恶意代码执行,并提到了CHtml类的一些实用方法。" 在开发Web应用程序时,安全问题是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值