过滤在线编辑器产生的不安全html代码.

最新推荐文章于 2018-02-07 15:09:00 发布
最新推荐文章于 2018-02-07 15:09:00 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: PHP 文章标签: html button javascript vbscript 框架 url
   <? php   
   /* *   
    *   过滤在线编辑器产生的不安全html代码.   
    *   
    *   PHP   versions   4   and   5   
    *   
    *   @copyright         版权所无,任意传播.   
    *   @link                   http://www.52sunny.net   
    *   @name                   html过滤     
    *   @version             v   0.0.10   
    *   @author               Lucklrj   (sunny_lrj@yeah.net,qq:7691272)   
    *   @lastmodified   2006-06-09   10:42   (Tue,   2006-06-09)     
    *   @notice               此版本只过滤js,框架,表单。   
                                    作者能力有限,使用本程序若产生任何安全问题,与本人无关。   
    欢迎来信与我交流。   
     */    
   $str = " <tr><td   bgcolor='#FFFFFF'>   
  <div   style='url(123.offsetWidth)> " ;   
   // $str="url(javascript:x)";   
    
   /* 不需要过滤的数组 */    
   $htm_on = array (   
   " <acronym " , " acronym> " ,    
   " <baseFont " , " baseFont> " ,    
   " <button " , " button> " ,    
   " <caption " , " caption> " ,    
   " <clientInformation " , " clientInformation> " ,    
   " <font " , " font> " ,    
   " <implementation " , " implementation> " ,    
   " <button " , " button> " ,    
   " <location " , " location> " ,    
   " <option " , " option> " ,    
   " <selection " , " selection> " ,    
   " <strong " , " strong> " );   
    
   $htm_on_uper = array (   
   " <ACRONYM " , " ACRONYM> " ,    
   " <BASEFONT " , " BASEFONT> " ,    
   " <BUTTON " , " BUTTON> " ,    
   " <CAPTION " , " CAPTION> " ,    
   " <CLIENTINFORMATION " , " CLIENTINFORMATION> " ,    
   " <FONT " , " FONT> " ,    
   " <IMPLEMENTATION " , " IMPLEMENTATION> " ,    
   " <BUTTON " , " BUTTON> " ,    
   " <LOCATION " , " LOCATION> " ,    
   " <OPTION " , " OPTION> " ,    
   " <SELECTION " , " SELECTION> " ,    
   " <STRONG " , " STRONG> " );   
    
   /* 字符格式 */    
   $str = strtolower ( $str );   
   $str = preg_replace ( " /s+/ " ,     "     " ,     $str ); // 过滤回车   
   $str = preg_replace ( " /   +/ " ,     "     " ,     $str ); // 过滤多个空格   
    
   /* 过滤/替换几种形式的js */    
   $str = preg_replace ( " /<(script.*?)>(.*?)<(/script.*?)>/si " , "" , $str ); // 删除<script>。。。</script>格式,   
  //$str=preg_replace("/<(script.*?)>(.*?)<(/script.*?)>/si","&lt;/1&gt;/2&lt;/3&gt;",$str);//替换为可以显示的,   
    
   $str = preg_replace ( " /<(script.*?)>/si " , "" , $str ); // 删除<script>未封闭   
  //$str=preg_replace("/<(script.*?)>/si","&lt;/1&gt;",$str);//替换未封闭   
    
   /* 删除/替换表单 */    
   $str = preg_replace ( " /<(/?form.*?)>/si " , "" , $str ); // 删除表单   
  //$str=preg_replace("/<(/?form.*?)>/si","&lt;/1&gt;",$str);//替换表单   
    
   $str = preg_replace ( " /<(i?frame.*?)>(.*?)<(/i?frame.*?)>/si " , "" , $str ); // 删除框架   
  //$str=preg_replace("/<(i?frame.*?)>(.*?)<(/i?frame.*?)>/si","&lt;/1&gt;/2&lt;/3&gt;",$str);//替换框架   
    
   /* 过滤on事件 */    
   $str = preg_replace ( " /href=(.+?)(["|'|   |>])/ie " , " 'href='.strtoupper('/1').'/2' " , $str ); // 把href=涉及到的on转换为大写。   
   $str = str_replace ( $htm_on , $htm_on_uper , $str ); // 把<font,font>换为大写,dhtml标签字符,正则判断太烦琐,采用转换办法。   
   $str = preg_replace ( " /(on[^   .<>]+?)([   |>])/s " , " /2 " , $str ); // 取掉on事件   
    
   /* 过滤超级连接的js */    
   $str = preg_replace ( " /(href|src|background|url|dynsrc|expression|codebase)[=:(]([   "']*?w+..*?|javascript|vbscript:[^>]*?)()?)([   >/])/si " , " /1='#'   /3/4 " , $str ); // 取掉href=javascript:   
    
  //返回小写字符   
   $str = strtolower ( $str );   
   $str = str_replace ( " & " , " &#x26; " , $str );   
   echo     $str ;   
   ?>
 
wssxy
关注
专栏目录
Kindeditor在线文本编辑器如何过滤HTML
10-22
KindEditor是一个开源的HTML可视化编辑器,主要用JavaScript编写,能够提供所见即所得的编辑效果,广泛适用于包括IE、Firefox、Chrome、Safari、Opera在内的主流浏览器。它支持与多种服务器端语言(如Java、.NET、...
新浪博客在线编辑器傻瓜调用版(2007.11.1第四次修正)提供下载了
10-30
### 新浪博客在线编辑器傻瓜调用版概述 #### 一、背景介绍与功能特点 新浪博客在线编辑器傻瓜调用版是一款专为新浪博客用户设计的增强型在线编辑工具。该版本通过一系列的功能优化和技术改进,极大地方便了用户在...
编辑器。以及过滤安全HTML代码
万里船的专栏
06-24 989
1.编辑器使用 提取的校内网的编辑器2.过滤安全HTML代码:PHPfunction h($text){$text = trim($text);$text = stripslashes($text);//完全过滤注释$text = preg_replace(//,,$text);//完全过滤动态代码$text = preg_replace(//,
在php中用正则表达式删除img标签的width、height、style
cqliaojing的专栏
05-12 5196
在php中用正则表达式删除img标签的width、height和style
富文本编辑器html过滤
zzh787272581的专栏
11-02 2556
需求是:允许特定的标签和属性入库 $result = '卡手机的风口浪尖爱上了对方就哭了ddsadsadasasalert(1);dfasdfasdfdsafadsfsda '; var_dump($result); function filterRichText($desc) { $htmlTags = [ 'b', 'strong',
php正则去除页面javascript
paulfzm的专栏
12-19 122
&lt;?php $str = 'yes,&lt;scRipt type="text/javascript"&gt; var IKFromImport=false; &lt;/script&gt;ok!'; $text = preg_replace("'&lt;script(.*?)&lt;\/script&gt;'is","",$str); //yes,o
kindEditor在线HTML富文本编辑器改造版
04-17
KindEditor在线HTML富文本编辑器是一款广泛应用于网页端的开源编辑器,主要由JavaScript语言编写,旨在为用户提供高质量的富文本编辑体验。它以其优秀的用户界面设计和强大的技术特性赢得了开发者和用户的喜爱。这款...
[其他类别]JSP网页HTML编辑器 v1.0 beat_jsphtmleditor.rar
最新发布
05-17
7. **安全性考虑**:在使用JSP网页HTML编辑器时,需要关注数据过滤和输入验证,防止XSS(跨站脚本攻击)和其他安全风险。同时,确保编辑器的更新以修复可能存在的漏洞。 8. **部署和使用**:JSP网页HTML编辑器 v1.0...
去掉img标签里的width 和 height的属性
StackOverFLow
04-20 4631
public class ImageRemove {   public static void main(String args[]){       String html = "";       html = html.replaceAll("(]*?)\\s+width\\s*=\\s*\\S+","$1");       html = html.replaceAll("(]*?)\\
正则表达式处理字符串中的img,去除style属性,添加自适应图片的类
热门推荐
Linda的前端开发路
03-02 1万+
正则表达式处理字符串中的img,去除style属性,添加自适应图片的类
php 去除html标签 和 css样式
paulfzm的专栏
12-10 611
  $content = preg_replace("/&lt;a[^&gt;]*&gt;/i", "", $content); $content = preg_replace("/&lt;\/a&gt;/i", "", $content); $content = preg_replace("/&lt;div[^&gt;]*&gt;/i
PHP清除HTML标签
李否否
09-12 1177
单纯用php原生函数 strip_tags 清除仍有残留和空格,下面的方法完美解决,将html转换为纯文本。 /**  * 清除html标签  */ function clear_tags($str) {     $str = strip_tags($str);     //首先去掉头尾空格     $str = trim($str);     $str = preg_replace("/(\s
jquery 清除嵌入式样式
weixin_30583563的博客
08-05 250
1 /*有些页面样式不规范,没有写在一个class里,例如:<div id="show" style="width:100px; padding-top:10px; font-size:12px;"></div> 2 */ 3 4 //这种情况下清空style可以removeAttr()方法移除style属性来实现 5 6 $("#show").remov...
关于在线文本编辑器防XSS注入攻击问题
weixin_30443731的博客
02-07 1519
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如<script>alert('这是一个页面弹出警告');</script>这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资...
PHP-字符处理-字符串过滤
bibijiesi的专栏
09-06 407
$str=preg_replace("/\s+/", " ", $str); //过滤多余回车 $str=preg_replace("/ $str=preg_replace("//si","",$str); //注释 $str=preg_replace("//si"
PHP正则提取或替换img标记属性
巴途Way,专注Go,PHP,C开发
02-20 5221
<?php /*PHP正则提取图片img标记中的任意属性*/ $str = 'PHP正则提取或更改图片img标记中的任意属性'; //1、取整个图片代码 preg_match('/]*?src\s*=\s*(\'|\")(.*?)\\1[^>]*?\/?\s*>/i',$str,$match); echo $match[0]; //2、取width preg_match('//i',$str
Html编辑器粘贴内容过滤技术深度解析
在开发Html在线编辑器时,粘贴内容过滤是一项关键功能,它涉及到用户从不同来源粘贴数据时的安全性和格式一致性。以下是对这一技术的详细阐述: 首先,我们需要能够过滤用户粘贴的纯文本数据,确保内容符合编辑器的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值