HTMLPurifier - 富文本HTML过滤器,样式被过滤

最新推荐文章于 2024-05-12 10:05:52 发布
最新推荐文章于 2024-05-12 10:05:52 发布
阅读量1k 收藏
点赞数
分类专栏: laravel 文章标签: htmlpurifier
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36820328/article/details/117697585
版权

简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击

开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整

原格式

<p>
<img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" 
class="img" style="display:inline-block;width:25px;height:25px;
background:url(&quot;http://forum.cn/static/js/summernote/tam-emoji/img/emoji_spritesheet_0.png&quot;) no-repeat -550px 0px;
background-size:675px 175px;" alt=":joy:">
</p>

过滤后

<p>
<img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" 
class="img" style="width:25px;height:25px;" alt=":joy:">
</p>

发现过滤后少了style样式,display,background,background-size
经查找laravel项目 框架代码使用htmlpurifier,过滤了这些样式
解决:
修改config/purifier.php,配置 “CSS.AllowedProperties”:自定义受信任元素

默认

'CSS.AllowedProperties'=>'font,font-size,width,height,font-weight,font-style,font-family,text-decoration,padding-left,color,text-align,background-color';

初步想加上过滤的样式,添加为受信任的

'CSS.AllowedProperties'=>'display,background,background-size,font,font-size,width,height,font-weight,font-style,font-family,text-decoration,padding-left,color,text-align,background-color';

发现display和background-size添加都报错
解决display报错,增加CSS.AllowTricky,解决display报错

'CSS.AllowTricky'    => true,

找background-size解决方法,看到插件库默认只支持受信任的安全元素
在这里插入图片描述
添加background-size

在这里插入图片描述
参考 https://www.cnblogs.com/liuxiaowei/p/7163484.html

熊猫路人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PHP 基于ThinkPHP,利用第三方插件htmlpurifier 防XSS跨站脚本攻击。可以只过滤指定标签(过滤富文本编辑器中指定标签)
houyanhua1的专栏
02-28 4373
htmlpurifier可以限制相关的内容存储到数据库里边利用该技术可以实现内容的特殊过滤,允许标签使用、禁止标签使用都可以实现。function.php是ThinkPHP框架固定的函数库文件名。根据目录路径修改 require_once './Plugin/htmlpurifier/HTMLPurifier.auto.php';  function.php:&lt;?php //防止xss攻击的...
htmlpurifier-master标准的HTML过滤器的库.zip
07-11
描述中提到,HTMLPurifier是目前最佳的PHP富文本HTML过滤器之一。它的工作原理是基于一个预定义的白名单,这个白名单列出了所有被允许的HTML标签和它们的属性。例如,如果开发者只希望允许`<p>`(段落)、`<a>`...
htmlpurifier-富文本编辑器过滤XSS
weixin_30597269的博客
04-26 272
本帖语言环境:php;开发框架:TP3.2; 1、htmlpurifier-4.6.0下载地址:https://files.cnblogs.com/files/samgo/htmlpurifier-4.6.0.zip 将下载好的压缩包解压,修改名称为htmlpurifier,放在如下目录: 2、定义公共函数clearXSS(),路径:Application/Common/Common/f...
推荐使用:Laravel HTMLPurifier
最新发布
gitblog_00094的博客
05-12 387
推荐使用:Laravel HTMLPurifier 项目地址:https://gitcode.com/mewebstudio/Purifier 在创建网页应用时,确保用户输入的安全性至关重要。Laravel HTMLPurifier 是一个为 Laravel 框架设计的轻量级服务提供者,它可以轻松集成 HTMLPurifier 库,帮助你在应用中过滤和净化HTML,有效防止跨站脚本(XSS)攻击。...
PHP下富文本HTML过滤器HTMLPurifier使用教程
m0_62089210的博客
11-05 1240
第一个参数就是需要配置的属性,第二个参数就是属性的值,第三个参数具体是做什么用的我也还没有搞明白,不过一般都没有用过,等有时间了再慢慢儿来研究研究。在官方文档中,点击一个属性后,可以看到对这个属性的解释,会告诉你这个属性的值的类型(Type)是String、Int、Array、Boolen……当然了,HTMLPurifier过滤功能非常强大的,每一个点都要写到那也不现实,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!比如我要配置允许的html标签,比如说p标签和a标签,可以如下配置。
HTMLPurifier:安全HTML过滤与清理的利器
gitblog_00060的博客
03-22 500
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/ezyang/htmlpurifier HTMLPurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HT...
【PHP】富文本HTML过滤器HTMLPurifier使用教程(防止XSS)
杨森源的博客
06-09 5776
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。
php富文本中防止xss,【PHP】富文本HTML过滤器HTMLPurifier使用教程(防止XSS)
weixin_42300879的博客
04-01 324
本来转载自:www.ttkmwl.com --最全面的程序代码下载论坛-通天源码论坛 在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意JavaScript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的acti...
php文本编辑器序列化,php 富文本编辑器(Ueditor)的安全过滤机理
weixin_42392689的博客
03-11 242
2017-08-04更新问题php 富文本编辑器(Ueditor)的安全过滤机理最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.但是我发现一个奇怪的现象:例如我在Ueditor中输...
富文本 防止XSS(跨站攻击)的防范利器HTMLPurifier
曹品东
08-27 1608
&lt;?php //引入htmlPurifier去除XSS跨站攻击代码 生成安全的html代码 require_once('./htmlpurifier/library/HTMLPurifier.includes.php'); $config = HTMLPurifier_Config::createDefault(); //创建默认配置 $purifier = new H...
13.pyg06-商品管理修改及XSS过滤
qq_39727133的博客
02-26 83
商品管理修改及XSS过滤
封装HTMLPurifier富文本过滤器实现自定义白名单机制
08-07
在这个场景下,"封装HTMLPurifier富文本过滤器实现自定义白名单机制"是一个有效的解决方案。 HTMLPurifier是一个基于PHP的开源库,专门设计用于清理和净化不安全的HTML输入。这个库遵循严格的HTML标准,并且允许...
htmlpurifier-master标准的HTML过滤器的库
06-19
简介:这是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击
htmlpurifier-html5:HTML5对HTMLPurifier的支持
04-30
composer require xemlock/htmlpurifier-html5 用法 最基本的用法类似于原始HTML Purifier。 使用HTMLPurifier_HTML5Config::createDefault()工厂方法创建与HTML5兼容的配置,然后将其传递给HTMLPurifier实例: $ ...
htmlpurifier-4.7.0-standalone.zip
10-07
HTML Purifier is a standards-compliant HTML filter library written in PHP. 非常不错的HTML富文本过滤库,当前最新版本4.7.0,从官网下载。SHA1校验:7F88181E3174AE6D1A124451E32CE7212C4482F2
Laravel封装 自定义Json数据格式
熊猫路人
05-28 2350
laravel json返回值封装 以便维护: 一般返回: returnresponse()->json(['status'=>'success','code'=>200,'message'=>'成功']); returnresponse()->json(['status'=>'fail','code'=>500,'error...
laravel 查询数据库获取结果如何判断是否为空?
熊猫路人
05-29 832
大家使用的场景是这样的: $users = DB::table('users')->where('id',$id)->get(); if($users){ //有数据 }else{ //没数据 } 或 if(is_null($users)){ // } 或 if(empty($users)){ // } 以上方法都是不行的,在使用Lar...
Laravel6以上使用str_slug()函数时提示未定义
熊猫路人
12-22 703
laravel使用测试数据填充文章表,找到之前大哥的5.7版本的方法,发现高版本str_slug()函数提示未定义 经过多方查找,哈哈,其实一百度就找到了 原因是从Laravel6.0 核心框架中删除了字符串和数组助手 官方文件:https://laravel.com/docs/6.x/upgrade#helpers 这图看懂了不,看不懂给你配中文的 这上面已经说了仍然需要使用助手,请使用composer安装以下包 composer require laravel/helpers 或者使用lara
帮我写一个xss过滤器
05-31
当涉及到编写XSS过滤器时,最好的方法是使用现有的库或框架,而不是自己编写一个。这是因为编写一个安全可靠的XSS过滤器需要考虑到很多方面的细节,如果未能正确处理任何一种情况,就可能导致过滤器无法防御XSS攻击。 以下是使用PHP中的HTML Purifier库编写一个基本的XSS过滤器的示例: ```php // 引入HTML Purifier库 require_once '/path/to/HTMLPurifier.auto.php'; // 创建HTML Purifier对象 $config = HTMLPurifier_Config::createDefault(); $purifier = new HTMLPurifier($config); // 要过滤HTML代码 $dirty_html = '<script>alert("XSS Attack!");</script>'; // 过滤HTML代码 $clean_html = $purifier->purify($dirty_html); // 输出过滤后的HTML代码 echo $clean_html; ``` 通过以上代码,HTML Purifier将会过滤掉`<script>`标签及其内容,以防止XSS攻击。需要注意的是,XSS过滤器通常只能防止非持久性的XSS攻击,无法完全防止所有的XSS攻击,所以在编写Web应用程序时,还需要注意其他安全问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值