HTML Purifier --非常好用的XSS过滤器

最新推荐文章于 2024-09-11 07:49:58 发布
最新推荐文章于 2024-09-11 07:49:58 发布
阅读量6k 收藏 1
点赞数
分类专栏: PHP 文章标签: html htmlpurifier xss 自定义 XSS过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010128133/article/details/73823367
版权 
# HTML Purifier #

>前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。
>使用过程中虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。
>因此在此写下经理的过程以作记录,也说不定能帮助到别人

### HTML Purifier 简介 ###
[HTML Purifier](http://htmlpurifier.org/) 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。
可以有效的防止 XSS 攻击!
HTML Purifier 的作者 [Edward Z. Yang](http://ezyang.com/)经历好像蛮丰富的,可以我英文太差,只看明白了几个学校。。。
HTML Purifier 的 package 包在 [Packagist](https://packagist.org) 上有 **680 多万**的下载使用,能看出来有多常用
![img](http://os7eldbpb.bkt.clouddn.com/1.png)

### HTML Purifier 使用 ###
**要求**:HTML Purifier 只需要 PHP 5.2 以及以上版本,并且不需要其他核心组件的支持。
如果是 composer 项目,那么只需要通过 composer 安装和自动加载 [ezyang/htmlpurifier](https://packagist.org/packages/ezyang/htmlpurifier) 就可以使用了,如果项目中没有 composer ,那可以下载standalone版本,并通过require_once引入。

#### 基本使用 ####
```php
require_once(dirname(__FILE__) . '/HTMLPurifier.standalone.php');
$config   = HTMLPurifier_Config::createDefault();
$html_purifier = new HTMLPurifier($config);
$clean_html = $html_purifier->purify($dirty_html);
```
说明:引入文件->获取默认配置->实例化->过滤
基础使用不需要任何配置,直接调用 HTML Purifier 就可以过滤

#### 常规配置 ####
HTML Purifier 的使用重点还在于如何进行配置,当需要的时候可以通过 set 方法进行配置
    
    $config->set('config_object', value, a=null);
第一个参数就是需要配置的属性名称,第二个参数就是属性的值。第三个不知道。。。先不管它
配置属性可以通过官网查询 [http://htmlpurifier.org/live/configdoc/plain.html](http://htmlpurifier.org/live/configdoc/plain.html)
HTML Purifier 使用了**白名单过滤**机制,只有被设置允许的才会通过检验。 
过滤掉文本中的所有html标签


    /**
     * 过滤掉所有html标签很简单,因为白名单机制
     */
    $config->set('HTML.Allowed', '');

只允许图片标签 img 及其链接和描述


    $config->set('HTML.Allowed', 'img[src|alt]');

#### 自定义标签和属性 ####

HTML Purifier 遵循 HTML 标准,会保留常见的各种HTML标签和合法的HTML定义的标准属性,其他的标签的属性都会被过滤掉!
一般来说就可以满足需求,但总用不够用的时候。这时候就需要来**自定义 HTML Purifier 的标签和属性**了。
我就遇到了这样的问题,一些标签和属性不符合标准或者不被推荐使用了,如果必须要使用,只能自定义才能避免被过滤。

```php
    // 默认配置
    $config = HTMLPurifier_Config::createDefault();

    //设置配置的名称
    $config->set('HTML.DefinitionID', 'smzdm library version');
    //设置配置的版本
    $config->set('HTML.DefinitionRev', 1);
    // 清理配置缓存,上线时关掉这句
    $config->set('Cache.DefinitionImpl', null);

    $def = $config->getHTMLDefinition(true);
    // 允许 audio 标签
    $def->addElement(
        'audio',
        'Block',
        'Flow',
        'Common',
        [
            'data-id' => 'Number'
        ]
    );
    // 为 img 标签添加 data-weight 属性
    $def->addAttribute(
        'img',
        'data-weight',
        'Number'
    );

    $this->html_purifier = new HTMLPurifier($config);
```

这里多了3个set操作,配置的**名称和版本**会作为配置的缓存key,最终这份配置会被缓存到磁盘到一个文件里。但是如果先执行过一次生成了缓存,而后再次执行时修改了配置,这个缓存是不会更新的,因此上面的第三个set就是清理缓存的用途,上线时就不要保留了,只是在调试htmlpurifier 时保障每次配置都可以得到更新而已。
下面的两个地方分别定义了一个 audio 标签和 为 img 标签添加的新属性
如果有比较多的配置、标签、属性需要进行设置的也可以自己封装一个方法来设置。


更多的配置请参考[官方文档](http://htmlpurifier.org/docs/enduser-customize.html)

>参考链接:
>[HTMLPurifier使用教程](http://blog.csdn.net/hanzengyi/article/details/43019479)
>[为htmlpurifier订制xss过滤](https://yuerblog.cc/2017/05/10/htmlpurifier-xss-config/?utm_source=tuicool&utm_medium=referral)
zjx2022boom
关注
专栏目录
cakephp-html-purifier:这是HTML Purifier库的CakePHP包装。 该插件包括一个特征,一个视图助手,一个行为和一个外壳,可以在视图中或模型层中的任意位置清理您的标记,或使用该外壳清理任何表和字段
05-26
HTML Purifier是用PHP编写的符合标准HTML过滤器库。 HTML Purifier不仅会使用经过全面审核,安全但允许的白名单删除所有恶意代码(更名为XSS),还将确保您的文档符合标准,这只有在全面了解W3C规范的情况下才能...
HTML过滤器,用于去除XSS漏洞隐患
Dzooooone_的博客
03-23 561
【代码】HTML过滤器,用于去除XSS漏洞隐患。
HTMLPurifier-HTML5 使用指南
最新发布
gitblog_00554的博客
09-11 831
HTMLPurifier-HTML5 使用指南 htmlpurifier-html5 HTML5 support for HTMLPurifier 项目地址: https://gitcode.com/gh_mirrors/ht/h...
使用HTML Purifier解决XSS问题
追逐
08-22 1192
在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫RemoveXSS的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修改代码使用起来很不友好,修改了却无法应对灵活的XSS攻击。  HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以
java 过滤html_Java过滤HTML标签工具类
weixin_31960565的博客
02-12 270
importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;importorg.springframework.util.StringUtils;importjava.util.regex.Matcher;importjava.util.regex.Pattern;/*** HTML标签过滤工具**@authorjim* @date 2017/11/2...
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1147
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
PHP开发中防止XSS攻击的HTML Purifier标准过滤器
资源摘要信息:"HTML Purifier是一个PHP编写的HTML过滤器库,它提供了一个强大的白名单机制和主动解析技术,从而帮助开发者确保生成的HTML内容既安全又符合标准。这种过滤器特别适合处理来自不可信来源的富文本内容,...
用PHP编写的符合标准HTML过滤器-PHP开发
05-27
HTML Purifier HTML Purifier是一种HTML过滤解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅可以阻止XSS攻击,而且可以确保生成HTML符合标准。HTML Purifier HTML Purifier是一种使用独特HTML过滤...
php实现XSS安全过滤的方法
10-23
10. 使用现成的安全库:对于复杂的Web应用,建议使用已有的成熟安全库来实现XSS过滤,例如OWASP AntiSamy、HTML Purifier等,这些库经过了安全社区的验证,能够提供更为稳定和全面的保护。 需要注意的是,过滤器并...
推荐:HTML Purifier - 安全可靠的HTML过滤
gitblog_00229的博客
08-10 289
推荐:HTML Purifier - 安全可靠的HTML过滤库 项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 在Web开发中,处理用户输入的HTML数据始终是一项挑战。如何确保来自不可信源的内容既富于格式,又不会引发跨站脚本(XSS)攻击呢?这就是HTML Purifier大显身手的地方。 项目介绍 HTML Purifier是一个强大的H...
htmlpurifier-4.7.0-standalone.zip
10-07
HTML Purifier is a standards-compliant HTML filter library written in PHP. 非常不错的HTML富文本过滤库,当前最新版本4.7.0,从官网下载。SHA1校验:7F88181E3174AE6D1A124451E32CE7212C4482F2
HTML Purifier-开源
05-13
HTML Purifier是用PHP编写的符合标准HTML过滤器库。 HTML Purifier会使用经过全面审核和安全但允许的白名单删除所有恶意代码(更名为XSS),并确保符合标准。
Yii净化器CHtmlPurifier用法示例(过滤不良代码)
12-19
本文实例讲述了Yii净化器CHtmlPurifier用法。分享给大家供大家参考,具体如下: 1. 在控制器中使用: public function actionCreate() { $model=new News; $purifier = new CHtmlPurifier(); $purifier->options = array( 'URI.AllowedSchemes'=>array( 'http' => true, 'https' => true, ), 'HTML.Allowed'=>
HTMLPurifier:安全HTML过滤与清理的利器
gitblog_00060的博客
03-22 592
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HTMLPuri...
XSS - html过滤
09-29 145
JS 根据白名单过滤HTML http://jsxss.com/zh/index.html 方案一: java的一个方案, 可以参考: http://winnie825.iteye.com/blog/1170833 用xml保存一些过滤信息 <?xml version="1.0" encoding="UTF-8"?> <XSSConfig&...
htmlpurifier的使用
weixin_30480583的博客
05-28 432
什么是htmlpurifier?? HTML Purifier是一个可以用来移除所有恶意代码(XSS),而且还能确保你的页面遵循W3C的标准规范的PHP类库。 在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫RemoveXSS的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修...
PHP下最好用的富文本HTML过滤器HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 1万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击! HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier
使用Jsoup消除不受信任的HTML (来防止XSS攻击)
SiC B2B2C Shop大型B2B2C商城软件产品,使用Java语言开发,高性能高扩展性高安全性分布式。可帮助你快速的建立大型B2B2C电商系统
05-20 693
  问题--XSS攻击 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。   方法--过滤 可以选用的工具有: Jsoup 是一款 Java 的HTML 解析器,可直接解析某个URL地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值