过滤XSS的HTMLPurifier使用

最新推荐文章于 2024-08-10 07:03:48 发布
最新推荐文章于 2024-08-10 07:03:48 发布
阅读量147 收藏
点赞数
文章标签: php

什么是HTMLPurifier?

在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。

HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML,是WYSIWYG编辑器的福音。。

官方下载地址:http://htmlpurifier.org/download

默认使用方法

<?php
require_once 'library/HTMLPurifier.includes.php'; // 载入核心文件 // XSS代码 $dirty_html = <<<EOF <h1>Hello <script>alert("world");</script> EOF; // 实例化 HTMLPurifier对象 $purifier = new HTMLPurifier(); // 返回过滤后的数据 $cleanHtml = $purifier->purify($dirty_html); ?>

详细过滤参看官方说明:http://htmlpurifier.org/live/smoketests/xssAttacks.php

在ThinkPHP中的使用

ThinkPHP核心配置文件中使用的是: 'DEFAULT_FILTER' => 'htmlspecialchars', // 默认参数过滤方法 用于I函数...

虽然也很有效的过滤了很有恶意的SQL注入,但未过滤“'”这个单引号,设置不妥当仍然会造成SQL注入。官方也给出了回应:I函数的作用不能等同于防止SQL注入,可以自定义函数来过滤

那么我们就可以使用HTMLPurifier了。

首先自定义一个函数:

    function removeXSS($val){ static $obj = null; if ($obj === null) { // 载入核心文件 require_once ("/Public/HTMLPurifier/HTMLPurifier.includes.php"); $obj = new HTMLPurifier(); } // 返回过滤后的数据 return $obj->purify($val); }

并在配置文件中改变默认过滤参数:

'DEFAULT_FILTER' => 'removeXSS',

最终效果:

  


作者:0x584A
链接:https://www.jianshu.com/p/bf8a816fde47
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
weixin_34392843
关注
HTML Purifier --非常好用的XSS过滤
u010128133的博客
06-28 897
HTML Purifier HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。 可以有效的防止 XSS 攻击!
thinkphp6 过滤XSS攻击
weixin_58862349的博客
12-15 251
第一步:执行composer命令安装 composer require ezyang/htmlpurifier 第二步:在公共文件中定义remove_xss函数 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 //requi.
使用HTMLPurifier防止跨站攻击(XSS)
北漂人的博客
08-31 410
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。
HTMLPurifier 使用教程
最新发布
gitblog_00346的博客
08-10 330
HTMLPurifier 使用教程 htmlpurifierStandards compliant HTML filter written in PHP项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 项目介绍 HTMLPurifier 是一个基于 PHP 编写的标准 HTML 过滤器,旨在清洗和规范化不安全的 HTML 输入,确保输出的内容...
HTMLPurifier laravel 过滤输入文本防止XSS攻击安装使用
weixin_30886233的博客
06-28 373
Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。Puri...
htmlpurifier-富文本编辑器过滤XSS
weixin_30597269的博客
04-26 277
本帖语言环境:php;开发框架:TP3.2; 1、htmlpurifier-4.6.0下载地址:https://files.cnblogs.com/files/samgo/htmlpurifier-4.6.0.zip 将下载好的压缩包解压,修改名称为htmlpurifier,放在如下目录: 2、定义公共函数clearXSS(),路径:Application/Common/Common/f...
使用HTML Purifier防止xss攻击
x_xuyuan的博客
10-14 274
下载地址:http://htmlpurifier.org/download 在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样...
thinkphp6 过滤XSS攻击 详解
jack_qinSer的博客
12-15 634
首先使用composer执行命令 composer require ezyang/htmlpurifier 在app/common.php公共文件中定义remove_xss函数 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
htmlpurifier-master标准的HTML过滤器的库.zip
07-11
HTMLPurifier是一款非常重要的PHP类库,专用于过滤和净化HTML内容,以防止跨站脚本(XSS)攻击。这款开源库以其强大的白名单机制而著名,它允许开发者定义一套安全的HTML标签和属性,只允许这些指定的元素在用户提交...
PHP 基于ThinkPHP,利用第三方插件htmlpurifierXSS跨站脚本攻击。可以只过滤指定标签(过滤富文本编辑器中指定标签)
houyanhua1的专栏
02-28 4386
htmlpurifier可以限制相关的内容存储到数据库里边利用该技术可以实现内容的特殊过滤,允许标签使用、禁止标签使用都可以实现。function.php是ThinkPHP框架固定的函数库文件名。根据目录路径修改 require_once './Plugin/htmlpurifier/HTMLPurifier.auto.php';  function.php:&lt;?php //防止xss攻击的...
java 过滤xss
06-02
在Java中过滤XSS攻击可以使用一些现有的开源库,比如OWASP的ESAPI库或者HTMLPurifier。以下是使用ESAPI库的示例代码: 1. 导入ESAPI库: ``` <groupId>org.owasp.esapi <artifactId>esapi <version>2.2.0.0 `...
htmlpurifier:用PHP编写的符合标准HTML过滤
04-12
HTML净化器 HTML Purifier是一种HTML筛选解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅阻止XSS攻击,而且确保生成HTML符合标准。 HTML Purifier面向需要CSS和完整标签集的不受信任来源的格式丰富的文档。 可以将该库配置为接受一组限制性更强的标签,但是它不如更多的准系统分析器有效。 但是,它将做对工作,这可能更为重要。 要去的地方: 请参阅安装以获取快速安装指南 有关面向开发人员的文档,代码示例和深入的安装指南,请参阅docs /。 有关TinyMCE和FCKeditor等编辑器的信息,请参见所见即所得 可以在以下网站上找到HTML Purifier: : 安装 软件包可在。 如果您使用Composer来管理依赖项,则可以使用 $ composer require ezyang/htmlpurifier
htmlpurifier-4.7.0-standalone.zip
10-07
HTML Purifier is a standards-compliant HTML filter library written in PHP. 非常不错的HTML富文本过滤库,当前最新版本4.7.0,从官网下载。SHA1校验:7F88181E3174AE6D1A124451E32CE7212C4482F2
HTML Purifier解决XSS问题
chouyiji8502的博客
09-13 191
基本用法 默认下,使用UTF-8编码,和XHTML 1.0 Transitional文档类型. require_once '/path/to/HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); $...
使用HTML Purifier解决XSS问题
追逐
08-22 1169
php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫RemoveXSS的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修改代码使用起来很不友好,修改了却无法应对灵活的XSS攻击。  HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以
HTMLPurifier防止跨站攻击(XSS)
只为成功找方法-不为失败找理由
09-13 568
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下 什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这 还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户 的特殊目
php插件 HTMLPurifier HTML解析器
motian06的专栏
10-12 3056
HTMLPurifier插件的使用 下载HTMLPurifier插件 HTMLPurifier插件有用的部分是 library 使用HTMLPurifier library类库 第一种方式 <?php require_once 'HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); ?>
purifier用来过滤危险的标签xss
gaokcl的博客
07-21 527
htmlpurifier下载地址: http://htmlpurifier.org/ purifier下载地址:https://github.com/mewebstudio/Purifier laravel <?php /** * 富文本编辑器 * purifier 用来过滤危险的标签 * VERSION: '4.11.0' * url: http://...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值