什么是HTMLPurifier?
在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。
HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML,是WYSIWYG编辑器的福音。。
默认使用方法
<?php
require_once 'library/HTMLPurifier.includes.php'; // 载入核心文件 // XSS代码 $dirty_html = <<<EOF <h1>Hello <script>alert("world");</script> EOF; // 实例化 HTMLPurifier对象 $purifier = new HTMLPurifier(); // 返回过滤后的数据 $cleanHtml = $purifier->purify($dirty_html); ?>
详细过滤参看官方说明:http://htmlpurifier.org/live/smoketests/xssAttacks.php
在ThinkPHP中的使用
ThinkPHP核心配置文件中使用的是: 'DEFAULT_FILTER' => 'htmlspecialchars', // 默认参数过滤方法 用于I函数...
虽然也很有效的过滤了很有恶意的SQL注入,但未过滤“'”这个单引号,设置不妥当仍然会造成SQL注入。官方也给出了回应:I函数的作用不能等同于防止SQL注入,可以自定义函数来过滤
那么我们就可以使用HTMLPurifier了。
首先自定义一个函数:
function removeXSS($val){ static $obj = null; if ($obj === null) { // 载入核心文件 require_once ("/Public/HTMLPurifier/HTMLPurifier.includes.php"); $obj = new HTMLPurifier(); } // 返回过滤后的数据 return $obj->purify($val); }
并在配置文件中改变默认过滤参数:
'DEFAULT_FILTER' => 'removeXSS',
最终效果:
作者:0x584A
链接:https://www.jianshu.com/p/bf8a816fde47
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。