htmlpurifier 过滤危险的JS代码

最新推荐文章于 2022-04-18 10:51:51 发布
最新推荐文章于 2022-04-18 10:51:51 发布
阅读量203 收藏
点赞数
原文链接:http://www.cnblogs.com/gooderic/p/5679300.html
版权

   在公共函数function里面

      

// 有选择性的过滤XSS --》 说明:性能非常低-》尽量少用
function removeXSS($data)
{
require_once './HtmlPurifier/HTMLPurifier.auto.php';
$_clean_xss_config = HTMLPurifier_Config::createDefault();
$_clean_xss_config->set('Core.Encoding', 'UTF-8');
// 设置保留的标签
$_clean_xss_config->set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]');
$_clean_xss_config->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
$_clean_xss_config->set('HTML.TargetBlank', TRUE);
$_clean_xss_obj = new HTMLPurifier($_clean_xss_config);
// 执行过滤
return $_clean_xss_obj->purify($data);
}

 

在模型中调用这个方法

protected function _before_insert(&$data,$option)
{
//获取当前时间添加到表单中
$data['addtime']=date('Y-m-d H:i:s',time());

//我们自己来过滤这个字段
$data['goods_desc']= removeXSS($_POST['goods_desc']);
}

如果项目中使用了在线编辑器需要配合使用HTMLPurifer实现有选择性的过滤XSS!!

转载于:https://www.cnblogs.com/gooderic/p/5679300.html

weixin_30729609
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Purify使用体验
BrantC的博客
10-21 9531
Purify是主要针对开发阶段的白盒测试,是综合性检测运行时错误的工具,并可以和其他复合应用程序(包括多线程和多进程程序)一起工作。Purify检查每一个内存操作,定位错误发生的地点并提供尽可能详细的信息帮助程序员分析错误发生的原因。它可以发现的主要错误有:(摘自purify在线帮助html/getstarted_pplus/2-pur
Yii2中HTMLPurifier支持html5标签
书山有路勤为径 学海无涯苦作舟
05-20 755
概述 为了防止XSS攻击,我们经常遇到的一个需求就是需要将用户编辑的内容过滤之后再保存在数据库中或者显示在页面上。HTMLPurifier无疑是一个合适的选择。所以HTMLPurifier自定义配置是我们需要了解的。本文只针对在Yii2框架中使用HTMLPurifier的配置情况展开讨论。 Yii2中的HTMLPurifier 在Yii2文档中关于HTMLPurifier的介绍很少,只提到可以使用HtmlPurifier::process($html, $config)这样方式过滤html。我们还是去读一下
Purify实战(1)
06-02
介绍purify工具的使用 很多的程序设计都是以一个Hello world来入门。方便起见,我也用一个Hello world来开始我的测试旅程。
JavaScript危险函数|eval()函数
qq_60115503的博客
04-18 5595
描述 eval()是全局对象的一个函数属性 eval()的参数是一个字符串,如果字符串表示的是表达式,eval()会对表达式进行求值,如果参数表示一个或多个JavaScript语句,那么eval()就会执行这些语句,不需要用eval()来执行一个算术表达式:因为javascript可以自动为算术表达式求值 如果你以字符串的形式构造了算术表达式,那么可以在后面用eval()对他求值,例如,假设你有一个变量x,你可以通过将表达式的字符串值(例如3*x+2)赋值给一个变量,然后在你的代码后面的其他地方调用e
信息收集之通过JS拓展信息面
weixin_50464560的博客
07-02 934
在渗透测试中,关键的就是信息收集阶段,收集信息的多少很大程度影响到攻击面的大小,这里不再对基本的信息收集步骤进行介绍,只讨论一下如何通过JS拓展信息收集面,这里仅仅是我用到的一些方法和工具,有没写到的欢迎师傅们在评论区补充。 域名收集 对于域名收集,分为根域名收集和子域名收集,在渗透测试的初期,如果是只有一个根域名,那么可以通过收集其他的根域名来拓展子域名的收集面,对于收集其他根域名,有很多不同的方式,从js角度来说,因为在js中会存在一些接口调用,其中不乏有其他域名的接口,那么这样只要在JS中发现了其他的
用php过滤危险html代码的函数
10-30
标题中的“用PHP过滤危险html代码的函数”指的是使用PHP编写一个函数,这个函数的主要任务是检测并移除或替换掉那些可能带来安全风险或导致页面混乱的HTML代码。描述中提到,我们既要防止外部危险内容的引入,也要...
php下过滤HTML代码的函数
10-30
同时,对于用户提交的富文本,可能需要使用更强大的库,如HTMLPurifier,来进行更全面的安全过滤。 总的来说,过滤HTML代码是PHP开发中不可或缺的一部分,通过合理的函数组合,我们可以有效地减少XSS攻击的风险,...
php 安全过滤函数代码
12-17
因此,开发人员应该遵循最佳实践,如使用预处理语句(如PDO或mysqli的预处理语句)来防止SQL注入,以及利用已有的安全库,如HTMLPurifier过滤和清理HTML内容。 总的来说,编写安全的PHP代码意味着始终保持警惕,...
过滤器 乱码,非法字符,权限
10-18
过滤器可以用来过滤或转义用户输入中的HTML标签和JavaScript代码,防止它们被执行。例如,对用户提交的评论进行HTML实体编码,或者使用HTMLPurifier等库来清除潜在的恶意HTML。这样,即使用户尝试插入恶意脚本,也会...
一个php安全过滤类库
05-04
类库可能包含去除HTML标签、JavaScript代码、CSS样式等的功能,以防止恶意代码的注入。 9. HTTP头部安全: 设置正确的HTTP头部,如X-Content-Type-Options、X-XSS-Protection、X-Frame-Options等,可以阻止某些...
javascript过滤危险脚本方法
12-03
下面是他们的字符串规则: 1、<(script|link|style|iframe)(.|\n)*<\/\1>\s* 2、\s*on[a-z]+\s*=\s*(“[^”]+”|'[^’]+’|[^\s]+)\s*(?=>) 3、\s*(href|src)\s*=\s*(“\s*(javascript|vbscript):[^”]+”|’\s*(javascript|vbscript):[^’]+’|(javascript|vbscript):[^\s]+)\s*(?=>) 4、epression\((.|\n)*\);? 了解他们的规则后,抓虫行动就水到渠成。 抓虫1 a { heigh
javascript过滤危险脚本方法.docx
01-19
javascript过滤危险脚本方法.docx
净化器:Laravel 5678HTMLPurifier
02-03
适用于Laravel 5/6/7/8HTMLPurifier 一个简单的服务提供商,其中包括的 。 用于Laravel 4的 通过在项目的composer.json需要mews/purifier软件包,可以通过安装此软件包: { " require " : { " laravel/framework " : " ~5.0 " , " mews/purifier " : " ~3.0 " , } } 要么 需要使用composer的此软件包: composer require mews/purifier 使用composer updat
六、前端XSS——(3)DOM型XSS
weixin_45540609的博客
04-25 980
一、DOM型XSS DOM(Document Object Model)是一个树形模型,可以编写JavaScript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点、对象、值。DOM是一个JS可以操纵浏览器和网页显示内容的接口。 每个载入浏览器的HTML文档都会成为Documnet对象,Document对象使我们可以从脚本中队HTML页面中的所有元素进行访问 lastModified可以判断伪静态。 做dom型XSS一定要审计。 1.html ...
HTML Purifier --非常好用的XSS过滤
u010128133的博客
06-27 5993
# HTML Purifier # >前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。 >使用过程中虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。 >因此在此写下经理的过程以作记录,也说不定能帮助到别人 ### HTML Purifier 简介 ### [HTML Pur
js 前端处理xss攻击,对危险的字符串进行过滤
PrimaryColor
04-01 5979
es6: npm install xss --save 这里测试使用的是es5,下载链接: https://download.csdn.net/download/qq_42740797/16291859 https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js过滤的比较严重,将html的所有属性都给过滤了) 调用函数: function filterXSS(string) html: <!.
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1078
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
帮我写一个xss过滤
最新发布
05-31
当涉及到编写XSS过滤器时,最好的方法是使用现有的库或框架,而不是自己编写一个。这是因为编写一个安全可靠的XSS过滤器需要考虑到很多方面的细节,如果未能正确处理任何一种情况,就可能导致过滤器无法防御XSS攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值