HTML Purifier

最新推荐文章于 2024-03-22 09:52:33 发布
最新推荐文章于 2024-03-22 09:52:33 发布
阅读量3.4k 收藏 2
点赞数 1
分类专栏: Laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25615395/article/details/80081649
版权

HTML Purifier

前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。
使用过程中虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。
因此在此写下经理的过程以作记录,也说不定能帮助到别人

HTML Purifier 简介

HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。
可以有效的防止 XSS 攻击!
HTML Purifier 的作者 Edward Z. Yang经历好像蛮丰富的,可以我英文太差,只看明白了几个学校。。。
HTML Purifier 的 package 包在 Packagist 上有 680 多万的下载使用,能看出来有多常用
img

HTML Purifier 使用

要求:HTML Purifier 只需要 PHP 5.2 以及以上版本,并且不需要其他核心组件的支持。
如果是 composer 项目,那么只需要通过 composer 安装和自动加载 ezyang/htmlpurifier 就可以使用了,如果项目中没有 composer ,那可以下载standalone版本,并通过require_once引入。

基本使用
require_once(dirname(__FILE__) . '/HTMLPurifier.standalone.php');
$config   = HTMLPurifier_Config::createDefault();
$html_purifier = new HTMLPurifier($config);
$clean_html = $html_purifier->purify($dirty_html);

说明:引入文件->获取默认配置->实例化->过滤
基础使用不需要任何配置,直接调用 HTML Purifier 就可以过滤

常规配置

HTML Purifier 的使用重点还在于如何进行配置,当需要的时候可以通过 set 方法进行配置

$config->set('config_object', value, a=null);

第一个参数就是需要配置的属性名称,第二个参数就是属性的值。第三个不知道。。。先不管它
配置属性可以通过官网查询 http://htmlpurifier.org/live/configdoc/plain.html
HTML Purifier 使用了白名单过滤机制,只有被设置允许的才会通过检验。
- 过滤掉文本中的所有html标签

/**
 * 过滤掉所有html标签很简单,因为白名单机制
 */
$config->set('HTML.Allowed', '');

  • 只允许图片标签 img 及其链接和描述

    $config->set(‘HTML.Allowed’, ‘img[src|alt]’);

自定义标签和属性

HTML Purifier 遵循 HTML 标准,会保留常见的各种HTML标签和合法的HTML定义的标准属性,其他的标签的属性都会被过滤掉!
一般来说就可以满足需求,但总用不够用的时候。这时候就需要来自定义 HTML Purifier 的标签和属性了。
我就遇到了这样的问题,一些标签和属性不符合标准或者不被推荐使用了,如果必须要使用,只能自定义才能避免被过滤。

    // 默认配置
    $config = HTMLPurifier_Config::createDefault();

    //设置配置的名称
    $config->set('HTML.DefinitionID', 'smzdm library version');
    //设置配置的版本
    $config->set('HTML.DefinitionRev', 1);
    // 清理配置缓存,上线时关掉这句
    $config->set('Cache.DefinitionImpl', null);

    $def = $config->getHTMLDefinition(true);
    // 允许 audio 标签
    $def->addElement(
        'audio',
        'Block',
        'Flow',
        'Common',
        [
            'data-id' => 'Number'
        ]
    );
    // 为 img 标签添加 data-weight 属性
    $def->addAttribute(
        'img',
        'data-weight',
        'Number'
    );

    $this->html_purifier = new HTMLPurifier($config);

这里多了3个set操作,配置的名称和版本会作为配置的缓存key,最终这份配置会被缓存到磁盘到一个文件里。但是如果先执行过一次生成了缓存,而后再次执行时修改了配置,这个缓存是不会更新的,因此上面的第三个set就是清理缓存的用途,上线时就不要保留了,只是在调试htmlpurifier 时保障每次配置都可以得到更新而已。
下面的两个地方分别定义了一个 audio 标签和 为 img 标签添加的新属性
如果有比较多的配置、标签、属性需要进行设置的也可以自己封装一个方法来设置。

更多的配置请参考官方文档

参考链接:
HTMLPurifier使用教程
为htmlpurifier订制xss过滤

陈平寨黄山赵子龙
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTMLPurifierBundle, 在PHP中,HTML过滤器是一个标准的HTML过滤器.zip
09-18
HTMLPurifierBundle, 在PHP中,HTML过滤器是一个标准的HTML过滤器 ExerciseHTMLPurifierBundle这个包将 HTMLPurifier 集成到 Symfony2.安装 2.1和 above ( 使用 Composer )在 composer.json file: 中需要捆绑包
HTML Purifier --非常好用的XSS过滤器
u010128133的博客
06-28 861
HTML Purifier HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。 可以有效的防止 XSS 攻击!
HTMLPurifier:安全HTML过滤与清理的利器
最新发布
gitblog_00060的博客
03-22 365
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/ezyang/htmlpurifier HTMLPurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HT...
htmlpurifier:用PHP编写的符合标准HTML过滤器
04-12
HTML净化器 HTML Purifier是一种HTML筛选解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅阻止XSS攻击,而且确保生成HTML符合标准。 HTML Purifier面向需要CSS和完整标签集的不受信任来源的格式丰富的文档。 可以将该库配置为接受一组限制性更强的标签,但是它不如更多的准系统分析器有效。 但是,它将做对工作,这可能更为重要。 要去的地方: 请参阅安装以获取快速安装指南 有关面向开发人员的文档,代码示例和深入的安装指南,请参阅docs /。 有关TinyMCE和FCKeditor等编辑器的信息,请参见所见即所得 可以在以下网站上找到HTML Purifier: : 安装 软件包可在。 如果您使用Composer来管理依赖项,则可以使用 $ composer require ezyang/htmlpurifier
htmlpurifier-4.7.0-standalone.zip
10-07
HTML Purifier is a standards-compliant HTML filter library written in PHP. 非常不错的HTML富文本过滤库,当前最新版本4.7.0,从官网下载。SHA1校验:7F88181E3174AE6D1A124451E32CE7212C4482F2
Yii净化器CHtmlPurifier用法示例(过滤不良代码)
12-19
本文实例讲述了Yii净化器CHtmlPurifier用法。分享给大家供大家参考,具体如下: 1. 在控制器中使用: public function actionCreate() { $model=new News; $purifier = new CHtmlPurifier(); $purifier->options = array( 'URI.AllowedSchemes'=>array( 'http' => true, 'https' => true, ), 'HTML.Allowed'=>
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
PHP下富文本HTML过滤器:HTMLPurifier使用教程
m0_62089210的博客
11-05 1209
第一个参数就是需要配置的属性,第二个参数就是属性的值,第三个参数具体是做什么用的我也还没有搞明白,不过一般都没有用过,等有时间了再慢慢儿来研究研究。在官方文档中,点击一个属性后,可以看到对这个属性的解释,会告诉你这个属性的值的类型(Type)是String、Int、Array、Boolen……当然了,HTMLPurifier的过滤功能非常强大的,每一个点都要写到那也不现实,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!比如我要配置允许的html标签,比如说p标签和a标签,可以如下配置。
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1043
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 1万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击! HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier
封装HTMLPurifier的富文本过滤器实现自定义白名单机制
08-07
简单封装HTMLPurifier的富文本过滤器,自定义白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击!
HTML Purifier-开源
05-13
HTML Purifier是用PHP编写的符合标准HTML过滤器库。 HTML Purifier会使用经过全面审核和安全但允许的白名单删除所有恶意代码(更名为XSS),并确保符合标准。
cakephp-html-purifier:这是HTML Purifier库的CakePHP包装。 该插件包括一个特征,一个视图助手,一个行为和一个外壳,可以在视图中或模型层中的任意位置清理您的标记,或使用该外壳清理任何表和字段
05-26
CakePHP HTML Purifier插件 这是的CakePHP包装。 HTML Purifier是用PHP编写的符合标准HTML过滤器库。 HTML Purifier不仅会使用经过全面审核,安全但允许的白名单删除所有恶意代码(更名为XSS),还将确保您的文档符合标准,这只有在全面了解W3C规范的情况下才能实现。 该插件包括一个特征,一个视图助手,一个行为和一个外壳,可在视图,模型层中的任意位置清理您的标记,或使用该外壳清理任何表和字段。 对于CakePHP 2.x,请使用1.x版本或分支。 对于CakePHP <= 3.5,请使用2.0版本或分支。 对于CakePHP> 3.5,请使用3.0版本或分支。 文献资料 有关文档和教程,请参见此存储库的目录。 支持 有关支持和功能要求,请访问。 为这个插件做贡献 请随时为插件提供新的问题,要求,单元测试和代码修复或新功能。 如果
HTMLPurifierBundle:HTML Purifier是用PHP编写的符合标准HTML过滤器库
02-03
ExerciseHTMLPurifierBundle 该捆绑软件将集成到Symfony中。 安装 Symfony 3.4及更高版本(使用Composer) 在您的composer.json文件中需要该软件包: { " require " : { " exercise/htmlpurifier-bundle " : " ...
txp-markdownlib:使用 PHP Markdown Lib 和 HTML Purifier 替换 Textpattern 的 classTextile.php
07-09
使用 PHP Markdown Lib、SmartyPants 和 HTML Purifier 直接替换 Textpattern 的 classTextile.php。 适用于 Textpattern 4.5.7 及更早版本。 Michel Fortin 的原始 PHP Markdown 代码包含一个与此非常相似的文件...
purify:用于LaravelHTML Purifier Sanitizer
02-02
净化 Purify是用于LaravelHTML输入清理器。 它使用了 。...用法清洁琴弦要清除用户输入,只需使用clean方法: $ input = '[removed]alert("Harmful Script");[removed] <p style="a style" class="a-...
php富文本防注入_HTML Purifier,PHP中过滤富文本&防止XSS攻击
weixin_42402188的博客
03-09 591
首先引用别人的原话:HTMLPurifier:PHP防止xss跨站攻击利器xss是什么?(百度到的→)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。比如说在博客的新建文章的编辑框里输入然后保存,以后每次访问这篇文章都会弹提示框出来。怎么防止?htmlpurifier的方式的过滤掉...
HTML过滤器,用于去除XSS漏洞隐患
Dzooooone_的博客
03-23 479
【代码】HTML过滤器,用于去除XSS漏洞隐患。
XSS漏洞会在HTML属性中输出吗
06-10
是的,XSS漏洞可以在HTML属性中输出恶意脚本,从而对网站的安全性造成危害。攻击者可以通过在HTML属性中注入恶意脚本来实现XSS攻击,比如在<img>、<link>、<script>等标签中的src、href、onerror等属性中注入恶意脚本。 当用户在网站上输入恶意脚本时,如果网站没有对用户输入进行过滤和转义,那么恶意脚本就会被嵌入到HTML属性中,并在用户访问该页面时被浏览器解析执行,从而造成危害。 因此,网站开发者需要对用户输入进行过滤和转义,以避免恶意脚本被注入到HTML属性中。具体来说,可以使用一些开源的XSS过滤器库,如OWASP ESAPI、HTML Purifier等,或者自己编写过滤函数,对用户输入进行过滤和转义,以保证网站的安全性。同时,也可以使用CSP(Content Security Policy)等安全策略来限制页面中的脚本执行,从而提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值