htmlpurifier-富文本编辑器过滤XSS

最新推荐文章于 2024-07-28 08:43:29 发布
最新推荐文章于 2024-07-28 08:43:29 发布
阅读量272 收藏 2
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/samgo/p/8955314.html
版权

本帖语言环境:php;开发框架:TP3.2;

1、htmlpurifier-4.6.0下载地址:https://files.cnblogs.com/files/samgo/htmlpurifier-4.6.0.zip

将下载好的压缩包解压,修改名称为htmlpurifier,放在如下目录:

2、定义公共函数clearXSS(),路径:Application/Common/Common/function.php(注意function.php不能写成functions.php)

/* 过滤xss函数 */
function clearXSS($string){
    require_once './htmlpurifier/HTMLPurifier.auto.php';
    // 生成配置对象
    $_clean_xss_config = HTMLPurifier_Config::createDefault();
    // 以下就是配置:
    $_clean_xss_config->set('Core.Encoding', 'UTF-8');
    // 设置允许使用的HTML标签
    $_clean_xss_config->set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]');
    // 设置允许出现的CSS样式属性
    $_clean_xss_config->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
    // 设置a标签上是否允许使用target="_blank"
    $_clean_xss_config->set('HTML.TargetBlank', TRUE);
    // 使用配置生成过滤用的对象
    $_clean_xss_obj = new HTMLPurifier($_clean_xss_config);
    // 过滤字符串
    return $_clean_xss_obj->purify($string);
}

 

3、POST提交时,除富文本编辑器(如商品描述)外的post数据(如商品名称、价格等)用TP自带的大I函数过滤,富文本内容用clearXSS()函数过滤;

      注意:富文本与非富文本内容最好分开过滤,若是统一使用clearXSS()过滤,非富文本内容提交时可以提交clearXSS()允许使用的html标签,影响页面显示效果。

转载于:https://www.cnblogs.com/samgo/p/8955314.html

weixin_30597269
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP 基于ThinkPHP,利用第三方插件htmlpurifierXSS跨站脚本攻击。可以只过滤指定标签(过滤富文本编辑器中指定标签)
houyanhua1的专栏
02-28 4373
htmlpurifier可以限制相关的内容存储到数据库里边利用该技术可以实现内容的特殊过滤,允许标签使用、禁止标签使用都可以实现。function.php是ThinkPHP框架固定的函数库文件名。根据目录路径修改 require_once './Plugin/htmlpurifier/HTMLPurifier.auto.php';  function.php:<?php //防止xss攻击的...
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1079
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
富文本编辑器 mysql_mysql - 富文本编辑器php后台开发是怎么结合使用的呢?
weixin_36149595的博客
01-19 331
我所知道的富文本编辑器就是像DZ论坛那样,所见所得那样的。1:但是我一直有个疑问,不是说客户端提交的数据要过滤吗,不然不就是XXS吗,DZ是UBB的方式处理的是吗?2:那些富文本编辑器,最后提交到服务器后,那些包含html代码的,能直接存到数据库里面吗,肯定不能允许用户这样吧?3:还有比如SF的这个Markdown编辑器原理是什么呢,它后台数据库有没有保存我们输入的html,js代码呢?4:还有像...
php文本编辑器序列化,php 富文本编辑器(Ueditor)的安全过滤机理
weixin_42392689的博客
03-11 242
2017-08-04更新问题php 富文本编辑器(Ueditor)的安全过滤机理最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.我项目的思路是将编辑器中输入的内容使用htmlspecialchars方法实体化后存入数据库中,然后在需要显示文章时使用htmlspecialchars_decode还原.但是我发现一个奇怪的现象:例如我在Ueditor中输...
PHP下富文本HTML过滤器:HTMLPurifier使用教程
u011871037的专栏
05-21 1435
一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier,需要先将HTMLPurifier.auto.php引入到程序文件中,具体方法如下: require_once '/path/to/HTMLPurifier.auto.php'; 2、将HTMLP
python自动发邮件富文本_python富文本XSS过滤
weixin_39638305的博客
12-04 163
前言:那天我正在开发网站最关键的部分——XSS过滤器,女神突然来电话说:“那东西好难呀,别开发了,来我家玩吧!”。我“啪”地一下把电话挂了,想让我的网站出XSS漏洞,没门~python做web开发当今已经逐渐成为主流之一,但相关的一些第三方模块和库还没有php和node.js多。比如XSS过滤组件,PHP下有著名的“HTML Purifier”(http://htmlpurifier.org/ )...
php富文本数据写入问题,富文本编辑器的安全问题
weixin_42510243的博客
03-12 268
我看到网上有两种解决方案:function RemoveXSS($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // note that you have to handl...
富文本 防止XSS(跨站攻击)的防范利器HTMLPurifier
曹品东
08-27 1608
&lt;?php //引入htmlPurifier去除XSS跨站攻击代码 生成安全的html代码 require_once('./htmlpurifier/library/HTMLPurifier.includes.php'); $config = HTMLPurifier_Config::createDefault(); //创建默认配置 $purifier = new H...
laravel过滤富文本提交的标签(防止XSS等js脚本攻击)
qq_20729891的博客
12-23 895
1.安装sdk composer require mews/purifier 2.完成后,在配置文件config/app.php的providers中注册HTMLPurifier服务提供者: 'providers' => [ // ... Mews\Purifier\PurifierServiceProvider::class, ] 然后在aliases中注册Purifier门面: 'aliases' => [ // ... 'Purifier' => Mews\Puri.
htmlpurifier-master标准的HTML过滤器的库.zip
07-11
标签“类库下载-htmlpurifier-master标准的HTML过滤器的库”进一步强调了这是关于下载和使用HTMLPurifier库的信息。在实际开发中,开发者需要熟悉如何将这个库集成到他们的项目中,确保所有用户提交的HTML内容都经过...
kindeditor-富文本框编辑器插件
07-22
- **安全性**:由于富文本编辑器可能成为XSS攻击的入口,因此KindEditor提供了对用户输入内容的安全过滤,避免恶意代码注入。 - **性能**:KindEditor采用异步加载策略,提高页面加载速度。同时,编辑器的内存管理...
TinyMCE富文本编辑器资源包
02-23
TinyMCE是一款强大的开源富文本编辑器,广泛应用于网页内容编辑和内容管理系统中。这个"TinyMCE富文本编辑器资源包"包含了TinyMCE的最新版本——版本6的相关资源,旨在提供一个功能完备、易用且高度可定制的文本编辑...
ueditor_jsp 百度富文本编辑器
01-03
**百度富文本编辑器——ueditor1_4_3_3-utf8-jsp详解** 在Web开发中,富文本编辑器(Rich Text Editor)扮演着至关重要的角色,它允许用户在网页上创建和编辑带有格式的文本,如字体、颜色、大小、对齐方式等。...
封装HTMLPurifier的富文本过滤器实现自定义白名单机制
08-07
在这个场景下,"封装HTMLPurifier的富文本过滤器实现自定义白名单机制"是一个有效的解决方案。 HTMLPurifier是一个基于PHP的开源库,专门设计用于清理和净化不安全的HTML输入。这个库遵循严格的HTML标准,并且允许...
PHP框架详解 - symfony框架
最新发布
丁爸的博客
07-28 771
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 404
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
ecshop网站部署
qq_63926306的博客
07-24 355
ecshop网站部署
BGP选路之Next Hop
txs1269928052的博客
07-23 749
根据前面的实验步骤得知,10.0.100.1/32路由在R1上的Next Hop为0.0.0.0,说明当10.0.100.1/32的路由信息在由R1传递至EBGP对等体R2的过程中,Next Hop属性会被自动修改为发送BGP报文的源地址,即 10.0.12.1。R3上的现象与R2上的现象类似,这里不再赘述。为了使R4的BGP路由表中去往10.0.100.1/32的路由信息标记为可用,并放进P路由表中,必须使R4去往10.0.100.1/32的 BGP路由信息中的Next Hop是可达的。
手写 editor web 富文本编辑器
05-18
手写富文本编辑器需要掌握 HTML、CSS、JavaScript 等前端技术,同时了解富文本编辑器的实现原理。...需要注意的是,手写富文本编辑器需要考虑到兼容性和安全性问题,比如跨浏览器支持、防止 XSS 攻击等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值