PHP中 HTMLPurifier防XSS攻击

最新推荐文章于 2021-06-22 23:37:01 发布
最新推荐文章于 2021-06-22 23:37:01 发布
阅读量403 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39520629/article/details/80109695
版权

HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击!

HTMLPurifier项目地址:http://htmlpurifier.org

配置方法记录下来,以备工作中使用!

/**
 * 
 * @param  [type] $string [要过滤的内容]
 * @return [type]         [description]
 */
function filterXSS($string){
    //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件
    require_once './Public/Admin/htmlpurifier/HTMLPurifier.auto.php';
    // 生成配置对象
    $cfg = HTMLPurifier_Config::createDefault();
    // 以下就是配置:
    $cfg -> set('Core.Encoding', 'UTF-8');
    // 设置允许使用的HTML标签
    $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
    // 设置允许出现的CSS样式属性
    $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
    // 设置a标签上是否允许使用target="_blank"
    $cfg -> set('HTML.TargetBlank', TRUE);
    // 使用配置生成过滤用的对象
    $obj = new HTMLPurifier($cfg);
    // 过滤字符串
    return $obj -> purify($string);
}

HTMLPurifier的过滤功能非常强大的,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!

                                                                              ——用别人的微笑,点缀自己的生活,献给奋斗中的自己。
郑宗强
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
html textarea input 的输入、存储、显示 与 xss
张圣晨的博客
01-15 2486
html textarea input 的输入、存储、显示 与 xss 御。需求如下: 存储用户在 textarea input 输入的原始数据(非转义后的数据),并可以正确显示,同时要避免 xss 攻击。 存在的问题:使用 div 显示数据时,标签会被错误解析,同时会遭到 xss 攻击。为了避免 xss 攻击,通常的做法是修改用户输入的数据,如将 < 修改为 &l...
xss php 转义_整理php注入和XSS攻击通用过滤
weixin_39963523的博客
03-09 414
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
使用HTMLPurifier止跨站攻击(XSS)
北漂人的博客
08-31 387
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其Web里面的代码会被执行,从而达到用户的特殊目的。
使用HTML Purifierxss攻击
x_xuyuan的博客
10-14 270
下载地址:http://htmlpurifier.org/download 在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样...
过滤XSS的HTMLPurifier使用
weixin_34392843的博客
01-21 144
什么是HTMLPurifier? 在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。 HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML,是WYSIWYG编辑器的福音。。 官方下载地址:http://htmlpurifier.org/dow...
php_XSS攻击插件
05-29
"php_XSS攻击插件"便是这样一种工具,它专为PHP环境设计,旨在确保从HTML编辑器或文本域获取的JS传值不包含潜在的XSS攻击代码。 **HTMLPurifier库的介绍** 在提供的压缩包,我们看到一个名为`htmlpurifier`的...
Laravel5止XSS跨站攻击的方法
10-21
在配置完成后,我们就可以在Laravel应用使用HTMLPurifier来清理用户输入的数据,XSS攻击。Purifier提供了两种主要使用方式,首先是使用`clean`辅助函数,例如: ```php clean(Input::get('inputname')); ``` ...
浅析php插件 HTMLPurifier HTML解析器
10-27
一个有效的解决方案是使用HTMLPurifier,这是一个用于清理HTML代码的纯PHP库,可以移除恶意代码,避免跨站脚本攻击(XSS)等安全问题。 HTMLPurifier的工作原理主要是通过一个白名单来指定哪些HTML标签和属性是被...
htmlpurifier:用PHP编写的符合标准HTML过滤器
04-12
HTML Purifier是一种HTML筛选解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅阻止XSS攻击,而且确保生成HTML符合标准。 HTML Purifier面向需要CSS和完整标签集的不受信任来源的格式丰富的文档。 ...
HTML Purifier解决XSS问题
chouyiji8502的博客
09-13 186
基本用法 默认下,使用UTF-8编码,和XHTML 1.0 Transitional文档类型. require_once '/path/to/HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); $...
使用HTML Purifier解决XSS问题
追逐
08-22 1161
php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫RemoveXSS的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修改代码使用起来很不友好,修改了却无法应对灵活的XSS攻击。  HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以
PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 1万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单的非法HTML标签,从而可以XSS攻击HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序调用HTMLPurifier 1、一般性调用 根据官方的文档,我们可以要在PHP程序调用HTMLPurifier
HTMLPurifier止跨站攻击(XSS)
只为成功找方法-不为失败找理由
09-13 554
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下 什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这 还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其Web里面的代码会被执行,从而达到用户 的特殊目
php 读出html xss,使用PHP清理HTML5(止XSS)
weixin_31440211的博客
03-12 100
PHP提供了解析方法以止代码PHP / SQL注入(即mysql_real_escape_string()).对于HTML / CSS / JavaScript,情况并非如此.为什么?第一:HTML / CSS / Javascript的唯一目的是显示信息.您可以接受HTML的某些元素或根据您的要求拒绝它们.其次:由于HTML / CSS / JS元素数量非常多(也在不断增加),因此无法尝试控制...
htmlpurifier-富文本编辑器过滤XSS
weixin_30597269的博客
04-26 275
本帖语言环境:php;开发框架:TP3.2; 1、htmlpurifier-4.6.0下载地址:https://files.cnblogs.com/files/samgo/htmlpurifier-4.6.0.zip 将下载好的压缩包解压,修改名称为htmlpurifier,放在如下目录: 2、定义公共函数clearXSS(),路径:Application/Common/Common/f...
php 过滤存储型XSS攻击
散尽浮华
06-21 3997
最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" onclick=alert(1)> 也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的 后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法 //过滤存储型XSS攻击 //过滤存储型XSS攻击 public function safe...
html5 止脚本攻击,phpxss攻击,过滤不正常的所有字段脚本
weixin_28728265的博客
06-22 163
先安装扩展composer require lincanbin/white-html-filter自己新建一个类
php通用过滤,php通用注入和XSS攻击全局过滤代码
weixin_33778479的博客
03-10 252
//php注入和XSS攻击通用过滤.//byqq:831937$_GET&&SafeFilter($_GET);$_POST&&SafeFilter($_POST);$_COOKIE&&SafeFilter($_COOKIE);functionSafeFilter(&$arr){$ra=...
js如何预xss攻击
最新发布
05-05
XSS(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者利用这种漏洞在受害者的浏览器执行恶意脚本。以下是一些预 XSS 攻击的方法: 1. 输入过滤:在用户提交的数据过滤掉不安全的字符,例如`, `>`, `&`, `'`, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值