php富文本防注入_HTML Purifier,PHP中过滤富文本&防止XSS攻击

最新推荐文章于 2024-03-22 09:52:33 发布
最新推荐文章于 2024-03-22 09:52:33 发布
阅读量595 收藏
点赞数
文章标签: php富文本防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42402188/article/details/115104039
版权

首先引用别人的原话: HTML Purifier:PHP防止xss跨站攻击利器

xss是什么?

(百度到的→)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 比如说在博客的新建文章的编辑框里输入 然后保存,以后每次访问这篇文章都会弹提示框出来。

怎么防止?

html purifier的方式的过滤掉 比如编辑框里的文本是1 2 3 ,然后过滤之后,存进数据库的是1 2 3,所以访问文章就不会有提示框弹出啦。

HTML Purfiler怎么用?

官方文档:http://htmlpurifier.org/live/configdoc/plain.html

好啦是全英的,反正我也看不太懂_(:з」∠)_, 就挑一些我会的又比较重要的来说咯

1.首先是使用这个库的基本格式

require_once 'library/HTMLPurifier.auto.php';

$config = HTMLPurifier_Config::createDefault();

//这里配置$config,以下2 3 4点的代码都是插在这里啵

$purifier = new HTMLPurifier($config);

$dirty_html = " 要过滤的字符串";

$clean_Html = $purifier->purify($dirty_html);//过滤后的字符串

2.配置Attr(属性)

$config->set('Attr.EnableID', true); // 允许使用id

$config->set('Attr.IDPrefix', 'test_'); // 给所有id加上前缀test_

$config->set('Attr.AllowedClasses', array('test_by_willko'));// 设置允许使用的class名

$config->set('Attr.ForbiddenClasses', array('ignore'));// 设置拒绝使用的class名

比如:

使用了

$config->set('Attr.EnableID', true); // 允许使用id

$config->set('Attr.IDPrefix', 'test_'); // 给所有id加上前缀test_

↓ h1的id加了前缀了,其他没有id就没有变

74b56c2efd0fbb4f15f450eda4931e32.png

3.配置HTML(html标签)

$config->set('HTML.AllowedElements',array('tr','div','h1'),true);//设置允许的tagname

$config->set('HTML.ForbiddenElements',array('div'),true);//设置拒绝使用的tagname

$config->set('HTML.Allowed','div'); //设置允许的标签名

$config->set('HTML.SafeScripting',array(''));//第二个参数是什么好像结果都是一样的...

比如:

(1)使用了

$config->set('HTML.AllowedElements',array('tr','div','h1'),true);//设置允许的tagname

↓(忽略br,那是我方便查看所以加在前面的)h1和div标签都可以,但p标签被过滤了

2daa6a560b47477282e1702ca7c8415e.png

(2)使用了

$config->set('HTML.SafeScripting',array(''));//第二个参数是什么好像结果都是一样的...

说明一下,第二个参数是什么都会把script的内容显示出来,嗯貌似也有点用的样子...

↓把script文本过滤出来了

80478c2f0e8f58501298bbf8905aff23.png

4.其他 AutoFormat(自动格式)、CSS(css配置)、Output(输出配置)

$config->set('CSS.AllowedProperties',array('width'),true);//设置允许的CSS属性

$config->set('AutoFormat.RemoveEmpty', true);  // 清除空标签

比如:

使用了

$config->set('CSS.AllowedProperties',array('width'),true);//设置允许的CSS属性

↓ style中width能出来,height就被过滤了

6e5d7e54c80b4bccc921e9251c7ac474.png

PS:官方有很多不同的配置,可以去官方文档里面深扒,我这里只列举一些重要的(并且我会的_(:з」∠)_),还望大神指点...

总代码块:

require_once 'library/HTMLPurifier.auto.php';

$config = HTMLPurifier_Config::createDefault();

//$config->set('Attr.EnableID', true); // 允许使用id

//$config->set('Attr.IDPrefix', 'test_'); // 给所有id加上前缀test_

//$config->set('Attr.AllowedClasses', array('test_by_willko'));// 设置允许使用的class名

//$config->set('Attr.ForbiddenClasses', array('ignore'));// 设置拒绝使用的class名

//$config->set('HTML.AllowedElements',array('tr','div','h1'),true);//设置允许的tagname

//$config->set('HTML.ForbiddenElements',array('div'),true);//设置拒绝使用的tagname

//$config->set('HTML.Allowed','div'); //设置允许的标签名

//$config->set('HTML.SafeScripting',array(''));//第二个参数是什么好像结果都是一样的...

//$config->set('CSS.AllowedProperties',array('width'),true);//设置允许的CSS属性

//$config->set('AutoFormat.RemoveEmpty', true); // 清除空标签

$purifier = new HTMLPurifier($config);

$dirty_html = "

123

321

";

$clean_Html = $purifier->purify($dirty_html);

echo "处理前
";

echo $dirty_html;

echo "处理后
";

echo $clean_Html;

?>

主页:http://htmlpurifier.org/

参考:http://blog.csdn.net/hanzengyi/article/details/43019479

懂车老王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTML Purifier --非常好用的XSS过滤
u010128133的博客
06-28 863
HTML Purifier HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。 可以有效的防止 XSS 攻击!
HTMLPurifierBundle:HTML Purifier是用PHP编写的符合标准HTML过滤器库
02-03
该捆绑软件将集成到Symfony。 安装 Symfony 3.4及更高版本(使用Composer) 在您的composer.json文件需要该软件包: { " require " : { " exercise/htmlpurifier-bundle " : " * " } } 安装捆绑包: $ ...
PHP富文本HTML过滤器:HTMLPurifier使用教程
m0_62089210的博客
11-05 1216
第一个参数就是需要配置的属性,第二个参数就是属性的值,第三个参数具体是做什么用的我也还没有搞明白,不过一般都没有用过,等有时间了再慢慢儿来研究研究。在官方文档,点击一个属性后,可以看到对这个属性的解释,会告诉你这个属性的值的类型(Type)是String、Int、Array、Boolen……当然了,HTMLPurifier过滤功能非常强大的,每一个点都要写到那也不现实,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!比如我要配置允许的html标签,比如说p标签和a标签,可以如下配置。
HTMLPurifier:安全HTML过滤与清理的利器
最新发布
gitblog_00060的博客
03-22 383
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/ezyang/htmlpurifier HTMLPurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HT...
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1045
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 1万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单的非法HTML标签,从而可以防止XSS攻击HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序调用HTMLPurifier 1、一般性调用 根据官方的文档,我们可以要在PHP程序调用HTMLPurifier
Laravel5防止XSS跨站攻击的方法
10-21
主要介绍了Laravel5防止XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS跨站攻击的相关操作技巧,需要的朋友可以参考下
PHP编写的符合标准HTML过滤器-PHP开发
05-27
HTML Purifier HTML Purifier是一种HTML过滤解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅可以阻止XSS攻击,而且可以确保生成HTML符合标准。HTML Purifier HTML Purifier是一种使用独特HTML过滤...
txp-markdownlib:使用 PHP Markdown Lib 和 HTML Purifier 替换 Textpattern 的 classTextile.php
07-09
使用 PHP Markdown Lib、SmartyPants 和 HTML Purifier 直接替换 Textpattern 的 classTextile.php。 适用于 Textpattern 4.5.7 及更早版本。 Michel Fortin 的原始 PHP Markdown 代码包含一个与此非常相似的文件...
php后端接收富文本过滤标签?
smallmww的博客
08-10 142
param() 函数默认为true,表示过滤标签,修改为false。我们在写php后端接口时直接获取前端传过来的富文本数据时会过滤掉标签。可以用以下方法进行解决。
htmlpurifier:用PHP编写的符合标准HTML过滤
04-12
HTML净化器 HTML Purifier是一种HTML筛选解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅阻止XSS攻击,而且确保生成HTML符合标准。 HTML Purifier面向需要CSS和完整标签集的不受信任来源的格式丰富的文档。 可以将该库配置为接受一组限制性更强的标签,但是它不如更多的准系统分析器有效。 但是,它将做对工作,这可能更为重要。 要去的地方: 请参阅安装以获取快速安装指南 有关面向开发人员的文档,代码示例和深入的安装指南,请参阅docs /。 有关TinyMCE和FCKeditor等编辑器的信息,请参见所见即所得 可以在以下网站上找到HTML Purifier: : 安装 软件包可在。 如果您使用Composer来管理依赖项,则可以使用 $ composer require ezyang/htmlpurifier
HTMLPurifierBundle, 在PHPHTML过滤器是一个标准的HTML过滤器.zip
09-18
HTMLPurifierBundle, 在PHPHTML过滤器是一个标准的HTML过滤器 ExerciseHTMLPurifierBundle这个包将 HTMLPurifier 集成到 Symfony2.安装 2.1和 above ( 使用 Composer )在 composer.json file: 需要捆绑包
htmlpurifier-4.7.0-standalone.zip
10-07
HTML Purifier is a standards-compliant HTML filter library written in PHP. 非常不错的HTML富文本过滤库,当前最新版本4.7.0,从官网下载。SHA1校验:7F88181E3174AE6D1A124451E32CE7212C4482F2
封装HTMLPurifier富文本过滤器实现自定义白名单机制
08-07
简单封装HTMLPurifier富文本过滤器,自定义白名单机制,有效杜绝了用户提交表单的非法HTML标签,从而可以防止XSS攻击
php过滤富文本标签内容,织梦dedecms富文本内容屏蔽标签实例代码
weixin_30652105的博客
03-12 233
文章的body字段屏蔽a标签和iframe标签{dede:field.body runphp="yes"}$str=@me;@me='';$str1='';$str1 = preg_replace( "@@is", "", $str );$str1 = preg_replace("/]*>(.*?)/is", "$1", $str1);@me=$str1;{/dede:field.body}...
PHP HTMLPurifierXSS攻击
郑宗强的博客
04-27 391
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单的非法HTML标签,从而可以防止XSS攻击HTMLPurifier项目地址:http://htmlpurifier.org 配置方法记录下来,以备工作使用! /** * * @param [type] $string [要过滤的内容] * @return ...
php 富文本过滤,Html富文本过滤
weixin_35897479的博客
03-13 517
程序背景:80sec注意到很多web应用程序在一些场合需要允许一些Html标签,和一些标签里的一些属性,如一些日志发表的地方,书写文章的地方,但是由于程序员对安全的不太了解,或者在自己进行的安全过滤时考虑不周,都容易带来跨站脚本攻击,在一些web2.0站点甚至引发Xss Worm。常规的一些检测措施包括黑名单,白名单等等,但是都因为过滤得并不全面,很容易被绕过。其实有另外一种过滤相对严格的方法,就...
php文本编辑器序列化,php 富文本编辑器(Ueditor)的安全过滤机理
weixin_42392689的博客
03-11 231
2017-08-04更新问题php 富文本编辑器(Ueditor)的安全过滤机理最近做博客系统,使用了最新的Ueditor(百度编辑器),比较担心安全注入的问题,做了一些测试.我项目的思路是将编辑器输入的内容使用htmlspecialchars方法实体化后存入数据库,然后在需要显示文章时使用htmlspecialchars_decode还原.但是我发现一个奇怪的现象:例如我在Ueditor输...
什么是 XSS 攻击?如何预
05-16
XSS(Cross-Site Scripting)攻击是一种常见的Web应用程序安全漏洞,攻击者通过在Web应用程序注入恶意脚本,使得这些脚本在用户浏览网页时执行,从而窃取用户的敏感信息或者实施其他恶意行为。 为了预XSS攻击,可以采取以下几种措施: 1. 对用户输入进行过滤和验证:在Web应用程序,对所有输入的数据进行过滤和验证,防止恶意脚本被注入。可以使用一些开源的XSS过滤器,如ESAPI和HTML Purifier。 2. 对输出进行编码:在Web应用程序,对所有输出的数据进行编码,防止恶意脚本被执行。可以使用一些编码工具,如HTML Entity编码和JavaScript编码。 3. 使用HttpOnly Cookie:HttpOnly Cookie只能通过HTTP协议进行访问,不能通过JavaScript进行访问,防止恶意脚本窃取Cookie信息。 4. 设置CSP(Content Security Policy):CSP是一个安全策略,可以限制Web应用程序的资源加载和脚本执行,防止恶意脚本被注入和执行。 5. 使用HTTPS协议:HTTPS协议可以加密通信内容,防止敏感信息被窃取和篡改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值