php htmlpurifier,php – HtmlPurifier – 允许数据属性

最新推荐文章于 2024-03-22 09:52:33 发布
最新推荐文章于 2024-03-22 09:52:33 发布
阅读量284 收藏
点赞数
文章标签: php htmlpurifier

我试图在我的所有范围内允许使用htmlPurifier的一些数据属性但是没办法…

我有这个字符串:

My

Name

Is

Zooboo

我的htmlpurifier配置:

$this->HTMLpurifierConfigInverseTransform = \HTMLPurifier_Config::createDefault();

$this->HTMLpurifierConfigInverseTransform->set('HTML.Allowed', 'span,u,strong,em');

$this->HTMLpurifierConfigInverseTransform->set('HTML.ForbiddenElements', 'word,p');

$this->HTMLpurifierConfigInverseTransform->set('CSS.AllowedProperties', 'font-weight, font-style, text-decoration');

$this->HTMLpurifierConfigInverseTransform->set('AutoFormat.RemoveEmpty', true);

我这样净化我的$value:

$purifier = new \HTMLPurifier($this->HTMLpurifierConfigInverseTransform);

var_dump($purifier->purify($value));die;

得到这个:

My NameIs Zoobo

但是如何在我的跨度中保存我的数据属性id,data-time-start,data-time-end?

我需要这个:

My NameIs Zoobo

我试着用这个配置测试:

$this->HTMLpurifierConfigInverseTransform->set('HTML.Allowed', 'span[data-time-start],u,strong,em');

但错误信息:

User Warning: Attribute ‘data-time-start’ in element ‘span’ not

supported (for information on implementing this, see the support

forums)

谢谢你的帮助 !!

编辑1

我尝试在这个代码行的firdt时间允许ID:

$this->HTMLpurifierConfigInverseTransform->set('Attr.EnableID', true);

它对我不起作用……

编辑2

对于data- *属性,我添加了这一行但是没有发生任何事情……

$def = $this->HTMLpurifierConfigInverseTransform->getHTMLDefinition(true);

$def->addAttribute('sub', 'data-time-start', 'CDATA');

$def->addAttribute('sub', 'data-time-end', 'CDATA');

解决方法:

HTML Purifier了解HTML的结构,并将此知识用作其白名单过程的基础.如果您将标准属性添加到白名单,它不允许该属性的任意内容 – 它理解该属性并仍将拒绝无意义的内容.

例如,如果某个属性采用了数值,HTML Purifier仍会拒绝尝试为该属性输入值’foo’的HTML.

如果添加自定义属性,只需将其添加到白名单中并不能教会HTML Purifier如何处理属性:它们可以在这些属性中获得哪些数据?什么数据是恶意的?

有大量文档,您可以在此处告诉HTML Purifier有关自定义属性的结构:Customize

< a> -tag的’target’属性有一个代码示例:

$config = HTMLPurifier_Config::createDefault();

$config->set('HTML.DefinitionID', 'enduser-customize.html tutorial');

$config->set('HTML.DefinitionRev', 1);

$config->set('Cache.DefinitionImpl', null); // remove this later!

$def = $config->getHTMLDefinition(true);

$def->addAttribute('a', 'target', 'Enum#_blank,_self,_target,_top');

这会将target添加为仅接受值“_blank”,“_ self”,“_ target”和“_top”的字段.这比实际的HTML定义要严格得多,但对于大多数用途来说完全足够了.

这是数据时间开始和数据时间结束所需的一般方法.有关可能的配置,请查看官方HTML Purifier文档(如上所述).从你的例子中我最好的猜测是你不想要Enum#…但是数字,就像这样……

$def->addAttribute('span', 'data-time-start', 'Number');

$def->addAttribute('span', 'data-time-end', 'Number');

…但请检查一下,看看哪种用例最适合您的用例. (当您实现此功能时,请不要忘记您还需要在当前正在执行的白名单中列出属性.)

我希望有所帮助!

标签:htmlpurifier,php,filter

来源: https://codeday.me/bug/20191008/1870340.html

酸甜草莓二侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php插件 HTMLPurifier HTML解析器
motian06的专栏
10-12 3039
HTMLPurifier插件的使用 下载HTMLPurifier插件 HTMLPurifier插件有用的部分是 library 使用HTMLPurifier library类库 第一种方式 <?php require_once 'HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); ?>
HTML Purifier --非常好用的XSS过滤器
u010128133的博客
06-28 866
HTML Purifier HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。 可以有效的防止 XSS 攻击!
HTMLPurifierBundle, 在PHP中,HTML过滤器是一个标准的HTML过滤器.zip
09-18
HTMLPurifierBundle, 在PHP中,HTML过滤器是一个标准的HTML过滤器 ExerciseHTMLPurifierBundle这个包将 HTMLPurifier 集成到 Symfony2.安装 2.1和 above ( 使用 Composer )在 composer.json file: 中需要捆绑包
PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 1万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击! HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier
HTMLPurifier:安全HTML过滤与清理的利器
最新发布
gitblog_00060的博客
03-22 402
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/ezyang/htmlpurifier HTMLPurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HT...
PHP下富文本HTML过滤器:HTMLPurifier使用教程
m0_62089210的博客
11-05 1220
第一个参数就是需要配置的属性,第二个参数就是属性的值,第三个参数具体是做什么用的我也还没有搞明白,不过一般都没有用过,等有时间了再慢慢儿来研究研究。在官方文档中,点击一个属性后,可以看到对这个属性的解释,会告诉你这个属性的值的类型(Type)是String、Int、Array、Boolen……当然了,HTMLPurifier的过滤功能非常强大的,每一个点都要写到那也不现实,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!比如我要配置允许html标签,比如说p标签和a标签,可以如下配置。
htmlpurifier的使用
weixin_30480583的博客
05-28 404
什么是htmlpurifier?? HTML Purifier是一个可以用来移除所有恶意代码(XSS),而且还能确保你的页面遵循W3C的标准规范的PHP类库。 在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫RemoveXSS的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修...
php富文本防注入_HTML Purifier,PHP中过滤富文本&防止XSS攻击
weixin_42402188的博客
03-09 599
首先引用别人的原话:HTMLPurifierPHP防止xss跨站攻击利器xss是什么?(百度到的→)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。比如说在博客的新建文章的编辑框里输入然后保存,以后每次访问这篇文章都会弹提示框出来。怎么防止?htmlpurifier的方式的过滤掉...
htmlpurifier:用PHP编写的符合标准HTML过滤器
04-12
HTML净化器 HTML Purifier是一种HTML筛选解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅阻止XSS攻击,而且确保生成HTML符合标准。 HTML Purifier面向需要CSS和完整标签集的不受信任来源的格式丰富的文档。 可以将该库配置为接受一组限制性更强的标签,但是它不如更多的准系统分析器有效。 但是,它将做对工作,这可能更为重要。 要去的地方: 请参阅安装以获取快速安装指南 有关面向开发人员的文档,代码示例和深入的安装指南,请参阅docs /。 有关TinyMCE和FCKeditor等编辑器的信息,请参见所见即所得 可以在以下网站上找到HTML Purifier: : 安装 软件包可在。 如果您使用Composer来管理依赖项,则可以使用 $ composer require ezyang/htmlpurifier
php htmlpurifier,htmlpurifierPHP过滤库
weixin_39832628的博客
03-11 149
htmlpurifierPHP过滤库require_once '/path/to/HTMLPurifier.auto.php';根据ThinkPHP的规范,对于第三方扩展,不符合ThinkPHP开发规范的,需要将HTMLPurifier放入到Library/Vendor目录中。然后我们可以在方法中通过下面方法将HTMLPurifier.auto.php引入到框架程序中:vendor('htmlpu...
PHP】富文本HTML过滤器:HTMLPurifier使用教程(防止XSS)
杨森源的博客
06-09 5706
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。
htmlpurifier-4.7.0-standalone.zip
10-07
HTML Purifier is a standards-compliant HTML filter library written in PHP. 非常不错的HTML富文本过滤库,当前最新版本4.7.0,从官网下载。SHA1校验:7F88181E3174AE6D1A124451E32CE7212C4482F2
浅析php插件 HTMLPurifier HTML解析器
10-27
本篇文章是对php插件 HTMLPurifier HTML解析器进行了详细的分析介绍,需要的朋友参考下
净化器:Laravel 5678HTMLPurifier
02-03
适用于Laravel 5/6/7/8HTMLPurifier 一个简单的服务提供商,其中包括的 。 用于Laravel 4的 通过在项目的composer.json需要mews/purifier软件包,可以通过安装此软件包: { " require " : { " laravel/...
htmlpurifier-html5:HTML5对HTMLPurifier的支持
04-30
... 安装 通过运行以下命令与安装: composer require xemlock/htmlpurifier-html5 用法 ... 使用HTMLPurifier_HTML5Config::createDefault()工厂方法创建与HTML5兼容的...$ purifier = new HTMLPurifier ( $ config ); $ c
php htmlpurifier 过滤onclick,Yii净化器CHtmlPurifier用法示例(过滤不良代码)
weixin_29843603的博客
03-29 135
本文实例讲述了Yii净化器CHtmlPurifier用法。分享给大家供大家参考,具体如下:1. 在控制器中使用:public function actionCreate(){$model=new News;$purifier = new CHtmlPurifier();$purifier->options = array('URI.AllowedSchemes'=>array('htt...
HTML Purifier,PHP中过滤富文本&防止XSS攻击
weixin_34406061的博客
07-21 404
2019独角兽企业重金招聘Python工程师标准>>> ...
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1051
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
HTMLPurifier laravel 过滤输入文本防止XSS攻击安装使用
weixin_30886233的博客
06-28 363
Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。Puri...
php acl简单权限控制,ACL – 权限控制
06-02
ACL(Access Control List,访问控制列表)是一种常见的权限控制方法,可以对用户、角色或资源进行权限控制,从而保证系统的安全性和可靠性。 在 PHP 中,可以通过使用 ACL 库来实现权限控制。ACL 库提供了一组 API,可以方便地实现用户、角色和资源的权限管理。 使用 ACL 库的基本步骤如下: 1. 创建 ACL 对象,用于管理权限控制列表。 2. 创建用户、角色和资源对象,分别用于表示系统中的用户、角色和资源。 3. 将用户、角色和资源对象添加到 ACL 对象中。 4. 定义权限规则,例如“用户 A 可以访问资源 B”。 5. 将权限规则添加到 ACL 对象中。 6. 在代码中使用 ACL 对象来判断用户是否具有访问资源的权限。 下面是一个简单的 PHP ACL 示例代码: ```php // 创建 ACL 对象 $acl = new \Zend\Permissions\Acl\Acl(); // 创建用户、角色和资源对象 $user = new \Zend\Permissions\Acl\Role\GenericRole('user'); $admin = new \Zend\Permissions\Acl\Role\GenericRole('admin'); $resource = new \Zend\Permissions\Acl\Resource\GenericResource('resource'); // 将用户、角色和资源对象添加到 ACL 对象中 $acl->addRole($user); $acl->addRole($admin, $user); $acl->addResource($resource); // 定义权限规则 $acl->allow($user, $resource, 'read'); $acl->allow($admin, $resource, 'write'); // 判断用户是否具有访问资源的权限 $isAllowed = $acl->isAllowed('admin', 'resource', 'write'); ``` 在上面的代码中,我们创建了一个 ACL 对象,并添加了一个用户对象、一个管理员对象和一个资源对象。然后,我们定义了两条权限规则,表示用户可以读取资源,管理员可以写入资源。最后,我们使用 ACL 对象来判断管理员是否具有写入资源的权限。 需要注意的是,ACL 库提供了丰富的功能和选项,可以根据具体的需求进行配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值