php富文本中防止xss,【PHP】富文本HTML过滤器:HTMLPurifier使用教程(防止XSS)

最新推荐文章于 2024-04-02 16:22:30 发布
最新推荐文章于 2024-04-02 16:22:30 发布
阅读量323 收藏 1
点赞数
文章标签: php富文本中防止xss

本来转载自:www.ttkmwl.com  --最全面的程序代码下载论坛-通天源码论坛

38070d18dc40e72fdb5bb1b0f8f0fd5d.png

在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意JavaScript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。

在使用PHP开发时,可以使用htmlspecialchars将用户提交过来的数据转换使之原样显示,但是这样一来会造成一些弊端,比如用户上传的图片 无法显示,html标签不会起作用,没有任何样式。解决方案就是可以使用UBB标签或者自定义标签来实现,要么就是自己写正则去过滤,但是防不胜防,并且 这样在处理起来有些繁琐。下载重点介绍一个开源的HTMLPurifier,这是一个符合W3C标准的HTML过滤器,可以生成标准的HTML代码,并且 有很多的自定义配置,我更关注的是可以过滤掉javascript代码,有效的防止XSS!

安装

使用composer安装

> composer require ezyang/htmlpurifier

Using version ^4.9 for ezyang/htmlpurifier

./composer.json has been updated

Loading composer repositories with package information

Updating dependencies (including require-dev)

- Installing ezyang/htmlpurifier (v4.9.3)

Downloading: 100%

Writing lock file

Generating autoload files

然后将vendor/autoload.php 引入项目中,即可使用

用法

$dirty_html=<<

Hello

EOF;

$config = \HTMLPurifier_Config::createDefault();

$purifier = new \HTMLPurifier($config);

$clean_html = $purifier->purify($dirty_html);

dump($clean_html);

输出结果如下:

Hello

过滤了XSS代码,过滤规则:

http://htmlpurifier.org/live/smoketests/xssAttacks.php

自动填充了残缺的标签

使用配置

$config = \HTMLPurifier_Config::createDefault();

// something....

$purifier = new \HTMLPurifier($config);

例如

function actionHtmlpurifer()

{

$dirty_html=<<

Hello

EOF;

$config = \HTMLPurifier_Config::createDefault();

//$config->set('HTML.Allowed', '');//过滤掉所有的HTML标签

//输出 Hello

$config->set('HTML.Allowed', 'h1,a[href]');//保留超链接标签a及其href链接地址属性,还有h1标签

$config->set('HTML.TargetBlank', true);//并自动添加target属性值为’_blank’

//输出

Hello

$purifier = new \HTMLPurifier($config);

$clean_html = $purifier->purify($dirty_html);

dump($clean_html);

}

// 让文本自动添加段落标签,前提是必须允许P标签的使用 $config->set('HTML.Allowed', 'p'); $config->set('AutoFormat.AutoParagraph', true); // 清除空标签 $config->set('AutoFormat.RemoveEmpty', true);

兔希求职咖青
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTML Purifier --非常好用的XSS过滤器
u010128133的博客
06-27 5992
# HTML Purifier # >前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。 >使用过程虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。 >因此在此写下经理的过程以作记录,也说不定能帮助到别人 ### HTML Purifier 简介 ### [HTML Pur
后端php过滤富文本xss,前端显示再还原样式
qq422431474的博客
09-09 409
后端代码 $content =htmlspecialchars(remove_xss(trim($request->input('content')))); function remove_xss($val) { $val = preg_replace ( '/([\x00-\x08\x0b-\x0c\x0e-\x19])/', '', $val ); $search = 'abcdefghijklmnopqrstuvwxyz'; $search .= 'ABCDEF.
php富文本防止xss,允许用户做富文本编辑的站点要怎么防 XSS
weixin_30335379的博客
04-01 589
42019-03-12 10:26:10 +08:00参考下```java// 预编译 XSS 过滤正则表达式private static List xssPatterns = ListUtils.newArrayList(Pattern.compile("(|))|(\\s*(script|link|style|iframe)\\s*>)", Pattern.CASE_INSENSITIV...
XSS攻击
weixin_45730243的博客
12-17 1301
1、什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),攻击者往web页面里插入恶意Script代码,当用户浏览网页之时,嵌入其Web里面的Script代码会执行,从而达到恶意攻击用户的目的。 模拟过程: 添加功能,请求参数值包含script标签js代码 添加成功后,数据表: 12 | test访问新增的这条数据,js代码会被浏览器解析并执行。 Xss攻击严重影响了正常用户对网站的访问。 2、转化的思想防范xss攻击 转化的思想:将输入的内容的<>转化为html
富文本编辑器防止XSS攻击
lijingyu001的博客
04-02 610
vue.condig.js配置。
PHP版百度富文本编辑器ueditor
08-08
在Web开发富文本编辑器是不可或缺的工具,它允许用户以类似于Microsoft Word的方式创建和编辑内容,然后以HTML格式存储。其,百度开发的ueditor是一款非常受欢迎的开源富文本编辑器,尤其在PHP环境下广泛使用...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器是Java Servlet API的一部分,...
kindEditor在线HTML富文本编辑器改造版
最新发布
04-17
在使用KindEditor时,开发者通常会将`kindEditor`这个压缩包解压,包含的文件和目录包含了编辑器的JavaScript库、CSS样式、语言包、图片资源以及示例代码等,通过引入相应的JS和CSS文件,并调用提供的初始化函数,...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _SESSION,$ _ GET,$ _ POST,$ _ SERVER) 如果需要更可配置的解决方案,请使用或 添加“内容安全策略”-> 内容安全策略简介不要写自己的正则表达式来解析HTML!...
php htmlpurifier,ezyang/htmlpurifier - Packagist文网
weixin_34464974的博客
03-11 252
READMEHTML Purifier is an HTML filtering solution that uses a unique combinationof robust whitelists and aggressive parsing to ensure that not only areXSS attacks thwarted, but the resulting HTML is s...
Thinkphp框架下有关富文本编辑器防XSS攻击的防御措施
similing的博客
05-22 2129
最近在用富文本编辑器,查了好多防XSS攻击的代码,都感觉不怎么好用。首先这些方法都是过滤非法字或者字串,标签字串千变万化,难于过滤全面、其次过滤后的代码甚至会丧失正常功能。因此我考虑只取我们需要的部分。 摒弃了过滤法,我考虑使用标签分析法。 参考了百度UEditor前端的过滤方法,它将允许标签的tag和属性列了出来并作以保留(白名单)。因此我也考虑使用白名单法: allowPara...
java 富文本 xss_KindEditor开源富文本编辑框架XSS漏洞
weixin_35703673的博客
02-24 761
原标题:KindEditor开源富文本编辑框架XSS漏洞*原创作者:卫士通 安全服务事业部 天龙,叶龙,本文属FreeBuf原创奖励计划,未经许可禁止转载0×01 前言KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEditor 使...
SpringBoot针对富文本和非富文本添加xss过滤
ACodeBird
08-27 3552
一、SpringBoot针对富文本和非富文本添加xss过滤(如果富文本字段是唯一,这里的唯一是不跟非富文本字段同名,实际写一个HttpServletRequestWrapper就行) 1.xss过滤器 package com.doctortech.tmc.filter; import com.doctortech.tmc.support.xss.XssHttpServletRequestWrapper; import com.doctortech.tmc.support.xss.XssRichTextHt
富文本提交数据到后台防止xss攻击
这是随心创作的博主
04-23 2253
StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后,保存到数据库的格式可能是这样的: &lt;p&gt;【产品名称】艾酷维多种维生素锌软糖&lt;/p&gt; 我们有时候需要的是: <p>【产品名称】艾酷维多种维生素锌软糖</p> 所以就需要用到StringEscapeUtils类进行转义和反转义 public static void main(String[] args) { ...
富文本编辑器过滤XSS攻击
最爱桃子的阿狸
05-16 9609
1.后台添加过滤器&lt;!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 --&gt; &lt;context-param&gt; &lt;param-name&gt;defaultHtmlEscape&lt;/param-name&gt; &lt;param-value&gt;true&lt;/param-v...
富文本编辑框和防止xss攻击
anmi3721的博客
08-07 1407
一、后台管理页面构建 1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", views.add_article), ... ] 2...
这一次,彻底理解XSS攻击
qq_42801460的博客
03-29 250
防范 XSS 是不只是服务端的任务,需要后端和前端共同参与的系统工程。虽然很难通过技术手段完全避免XSS,但我们原则上减少漏洞的产生。
OWASP TOP 10
weixin_45515936的博客
04-01 309
OWASP TOP 10 13年版已升级-2017版本 参考: https://blog.csdn.net/wang_624/article/details/89683571?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159198134219725211934408%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=15919813
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其的特殊字进行转义,从而避免XSS攻击。例如,可以使用Jsoup库的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值