过滤在线编辑器产生的不安全html代码

最新推荐文章于 2021-07-16 18:27:32 发布
最新推荐文章于 2021-07-16 18:27:32 发布
阅读量253 收藏
点赞数
分类专栏: PHP javascript 文章标签: html javascript ViewUI 
过滤在线编辑器产生的不安全html代码;
<?php
/**
* 过滤在线编辑器产生的不安全html代码.
*
* PHP versions 4 and 5
*
* @copyright 版权所无,任意传播.
* @link http://www.52sunny.net
* @name html过滤
* @version v 0.0.10
* @author Lucklrj (sunny_lrj@yeah.net,qq:7691272)
* @lastmodified 2006-06-09 10:42 (Tue, 2006-06-09)
* @notice 此版本只过滤js,框架,表单。
作者能力有限,使用本程序若产生任何安全问题,与本人无关。
欢迎来信与我交流。
*/
str="<tr><td bgcolor='#FFFFFF'>
<div style='url(123.offsetWidth)>";
//str="url(javascript:x)";

/*不需要过滤的数组*/
htm_on=array(
"<acronym","acronym>",
"<baseFont","baseFont>",
"<button","button>",
"<caption","caption>",
"<clientInformation","clientInformation>",
"<font","font>",
"<implementation","implementation>",
"<button","button>",
"<location","location>",
"<option","option>",
"<selection","selection>",
"<strong","strong>");

htm_on_uper=array(
"<ACRONYM","ACRONYM>",
"<BASEFONT","BASEFONT>",
"<BUTTON","BUTTON>",
"<CAPTION","CAPTION>",
"<CLIENTINFORMATION","CLIENTINFORMATION>",
"<FONT","FONT>",
"<IMPLEMENTATION","IMPLEMENTATION>",
"<BUTTON","BUTTON>",
"<LOCATION","LOCATION>",
"<OPTION","OPTION>",
"<SELECTION","SELECTION>",
"<STRONG","STRONG>");

/*字符格式*/
str=strtolower(str);
str=preg_replace("/s+/", " ", str);//过滤回车
str=preg_replace("/ +/", " ", str);//过滤多个空格

/*过滤/替换几种形式的js*/
str=preg_replace("/<(script.*?)>(.*?)<(/script.*?)>/si","",str);//删除<script>。。。</script>格式,
//str=preg_replace("/<(script.*?)>(.*?)<(/script.*?)>/si","<\1>\2<\3>",str);//替换为可以显示的,

str=preg_replace("/<(script.*?)>/si","",str);//删除<script>未封闭
//str=preg_replace("/<(script.*?)>/si","<\1>",str);//替换未封闭

/*删除/替换表单*/
str=preg_replace("/<(/?form.*?)>/si","",str);//删除表单
//str=preg_replace("/<(/?form.*?)>/si","<\1>",str);//替换表单

str=preg_replace("/<(i?frame.*?)>(.*?)<(/i?frame.*?)>/si","",str);//删除框架
//str=preg_replace("/<(i?frame.*?)>(.*?)<(/i?frame.*?)>/si","<\1>\2<\3>",str);//替换框架

/*过滤on事件*/
str=preg_replace("/href=(.+?)(["|'| |>])/ie","'href='.strtoupper('\1').'\2'",str);//把href=涉及到的on转换为大写。
str=str_replace(htm_on,htm_on_uper,str);//把<font,font>换为大写,dhtml标签字符,正则判断太烦琐,采用转换办法。
str=preg_replace("/(on[^ .<>]+?)([ |>])/s","\2",str);//取掉on事件

/*过滤超级连接的js*/
str=preg_replace("/(href|src|background|url|dynsrc|expression|codebase)[=:(]([ "']*?w+..*?|javascript|vbscript:[^>]*?)()?)([ >/])/si","\1='#' \3\4",str);//取掉href=javascript:

//返回小写字符
str=strtolower(str);
str=str_replace("&","&",str);
echo str;
?>
lucklrj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTML代码过滤工具
11-10
用于过滤HTML代码的工具,小巧,而且听实用的
kindEditor在线HTML富文本编辑器改造版
最新发布
04-17
KindEditor在线HTML富文本编辑器是一款广泛应用于网页端的开源编辑器,主要由JavaScript语言编写,旨在为用户提供高质量的富文本编辑体验。它以其优秀的用户界面设计和强大的技术特性赢得了开发者和用户的喜爱。这款...
过滤html在线编辑器产生有危害代码
阳光灿烂的日子
06-07 1011
部分强大的在线编辑器,已经包含了代码整理,过滤功能,但js处理的能被很轻易的饶过,服务端必须要再次过滤一次,这几天花了点时间,写了部分,希望对大家有点用处,本人能力有限,还请有能力的朋友补全它。 /*不需要过滤的数组*/$htm_on=array("","","","","","","","","","","","","font");$htm_on_uper=array("","","
html代码安全,过滤在线编辑器产生的不安全html代码
weixin_33379878的博客
06-08 124
过滤在线编辑器产生的不安全html代码;/*** 过滤在线编辑器产生的不安全html代码.** PHP versions 4 and 5** @copyright 版权所无,任意传播.* @link http://www.52sunny.net* @name html过滤* @version v 0.0.10* @author Lucklrj (sunny_lrj@yeah.net,qq:7691...
在线html过滤,在线Html编辑器粘贴过滤技术详解(二)
weixin_34493012的博客
06-03 486
作者:Tony Qu本章我们将来说一说filterPasteData函数的实现。上篇中提到我们采用的粘贴方式是浏览器自己提供的,只是使用了不少技巧,使得粘贴的东西不直接进入Html编辑器的iframe,所以从某种意义上讲,我们获得的粘贴数据内容都是html。根据我们之前所说的三种需求,文本、html以及Word内容,我们可以把过滤的内容分为两大类:a. htmlb. Word xml之所以纯文本可...
过滤在线编辑器产生的不安全html代码.
尚兴跃的备忘录
04-06 224
&lt;?php/***过滤在线编辑器产生的不安全html代码.**PHPversions4and5**@copyright版权所无,任意传播.*@linkhttp://www.52sunny.net*@namehtml过滤*@versionv0.0.10*@authorLucklrj(sunny_lrj@yeah.net,qq:7691272)*@lastmodified2006-06-0...
js过滤HTML标签以及空格的思路及代码
10-27
今天要做一个应用--判断编辑器中文字的个数。如果少如20个字就不能让其提交。没多想,正好周末的时候看了一下js中正则表达式的内容。很容易就想到了要用正则表达式来解决这个问题。虽说看了正则表达式的内容是看了,...
ubb代码编辑器 discuz
04-12
这个编辑器的设计目的是提供一种更安全、更可控的方式来输入和展示用户生成的内容。 **什么是UBB代码?** UBB,全称为“统一BBCode”,是一种轻量级的标记语言,类似于HTML但更为简化的代码格式。它主要用于论坛、...
htmlpurifier-master标准的HTML过滤器的库.zip
07-11
这种方法对于处理用户生成内容(UGC)的网站特别重要,如论坛、博客评论或者在线编辑器HTMLPurifier库的使用步骤通常包括以下几步: 1. **安装**:通过Composer(PHP的依赖管理工具)安装HTMLPurifier,或者手动...
在线编辑器 html
08-15
实现Word代码自动检测并清理,提供高效完美的Word代码过滤方案,生成代码最优化精简,但是却不丢失任何细节效果。 安全的UBB 提供完美的UBB可视化编辑器解决方案,在您获得安全高效代码存储的同时,又能享受可视化...
过滤字符串中的HTML标签
11-04
private string FilterHTML(string contents) { string strTmp =string.Empty; strTmp = System.Text.RegularExpressions.Regex.Replace(contents, "]*)>", ""); return strTmp; }
C# 过滤HTML标签的几种方法
05-17
/**/ /// <summary> /// 去除HTML标记 /// </summary> /// <param name="NoHTML">包括HTML的源码 </param> /// <returns>已经去除后的文字</returns> public static string NoHTML(string Htmlstring) { //删除脚本 Htmlstring = Regex.Replace(Htmlstring, @"<script[^>]*?>.*?</script>", "", RegexOptions.IgnoreCase); //删除HTML
cpa卡片消息QQxml消息制作器超级消息制作器
04-22
cpa卡片消息QQxml消息制作器超级消息制作器 直接解压打开就行,win7可用,内带跳转链接生成网站,模板套用资源与思路
网页版xml卡片消息生成
06-28
网页版xml卡片消息生成 自动生成自动生成 自动生成
功能强大的卡片模版编辑器
06-08
vc++ 开发的功能强大的卡片模版编辑器
html哪些标签不安全,危险无处不在 Html标签带来的安全隐患
weixin_39976499的博客
07-16 481
WWW服务是因特网上最重要的服务之一,提供给客户各种各样的信息资源,而把这种信息资源组织起来的一个很重要的东西就是Html超文本语言,然后经过应用的发展就出现了其他的如UBB等标签但是最终都是以Html代码来实现的。经过研究发现,即使是最安全安全代码(已经排除了通常所说的Xss漏洞)也无法避免另外一种恼人的攻击方式,配合不严格的程序,可能被人利用产生更大的威胁。我们就以现在广泛存在于论坛,文章系...
过滤HTML标签和保留特殊标签
orichisonic的专栏
10-15 787
这边主要看到一个过滤的功能: public static string FilterHtmlTag(string s) { //标记正则表达式 return Regex.Replace(s, @"]*>", delegate(Match match) { string v = match.ToString(); //图片,,正则表达式 Regex rx = ne
如何把quill过滤html,Quill js在编辑器中删除嵌入或html内容
05-26
过滤Quill中的HTML内容,可以使用Quill的Delta模块来解析和过滤HTML。以下是一个示例代码: ``` // 初始化Quill编辑器 var quill = new Quill('#editor', { theme: 'snow' }); // 过滤HTML function filterHtml(html) { var delta = new Delta().insert(html); var plainText = delta .filter(function(op) { return typeof op.insert === 'string'; }) .map(function(op) { return op.insert; }) .join(''); return plainText; } // 删除嵌入或HTML内容 function removeContent() { var selection = quill.getSelection(); if (selection) { quill.deleteText(selection.index, selection.length); } } // 监听删除按钮 document.querySelector('#delete-btn').addEventListener('click', removeContent); ``` 在上面的代码中,`filterHtml`函数将HTML转换为纯文本,并返回纯文本字符串。`removeContent`函数将当前选定的内容从Quill编辑器中删除。你可以根据自己的需求更改这些函数。 另外,可以使用Quill的Paste模块来控制用户粘贴到编辑器中的内容。这将帮助你在编辑器过滤和控制HTML内容。 希望这可以帮到你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值