使用HTML Purifier防止xss攻击

最新推荐文章于 2024-03-22 09:52:33 发布
最新推荐文章于 2024-03-22 09:52:33 发布
阅读量262 收藏
点赞数
文章标签: HTML Purifier
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x_xuyuan/article/details/83046019
版权

下载地址:http://htmlpurifier.org/download
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。
HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML。

function HtmlPurifier($data){
    require_once "__STATIC__/plugin/htmlpurifier/linrary/HTMLPurifier.auto.php";
    $config = HTMLPurifier_Config::createDefault();
    //设置保留标签
    $config->set('Core.Encoding','UTF-8');
    $config->set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,lo,p[style],br,span[style],img[width|height|alt|src]');
    $config-set('CSS.AllowedProperties','font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
    $config->set('HTML.TargetBlank',TRUE);
    $obj = new HTMLPurifier($config);
    //执行过滤
    return $obj->purify($data);
}

详细过滤参看官方说明:http://htmlpurifier.org/live/smoketests/xssAttacks.php

x_xuyuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTML Purifier --非常好用的XSS过滤器
u010128133的博客
06-28 883
HTML Purifier HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。 可以有效的防止 XSS 攻击!
HTML过滤器用于去除XSS漏洞隐患
Dzooooone_的博客
03-23 513
【代码】HTML过滤器用于去除XSS漏洞隐患
ruoyi框架源码阅读之--过滤器Filter
weixin_44399264的博客
03-28 1965
filter也称之为过滤器,它是javaWeb三大组件之一(Servlet程序、Listener监听器、Filter过滤器),一般来说用@WebFilter去实现配置,若伊里面是通过配置类来实现的。1、EscapeUtil :转义、反转工具类,用clean方法清楚xss攻击的标签/*** 转义和反转义工具类/[^)|(
HTMLPurifier:安全HTML过滤与清理的利器
最新发布
gitblog_00060的博客
03-22 493
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/ezyang/htmlpurifier HTMLPurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HT...
PHP下富文本HTML过滤器HTMLPurifier使用教程
m0_62089210的博客
11-05 1240
第一个参数就是需要配置的属性,第二个参数就是属性的值,第三个参数具体是做什么用的我也还没有搞明白,不过一般都没有用过,等有时间了再慢慢儿来研究研究。在官方文档中,点击一个属性后,可以看到对这个属性的解释,会告诉你这个属性的值的类型(Type)是String、Int、Array、Boolen……当然了,HTMLPurifier的过滤功能非常强大的,每一个点都要写到那也不现实,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!比如我要配置允许的html标签,比如说p标签和a标签,可以如下配置。
Laravel5中防止XSS跨站攻击的方法
01-20
Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 ...
php_XSS防攻击插件
05-29
"php_XSS防攻击插件"便是这样一种工具,它专为PHP环境设计,旨在确保从HTML编辑器或文本域获取的JS传值不包含潜在的XSS攻击代码。 **HTMLPurifier库的介绍** 在提供的压缩包中,我们看到一个名为`htmlpurifier`的...
HTML Purifier-开源
05-13
综上所述,HTML Purifier是PHP开发者处理用户生成内容时的一个重要工具,它提供了一种安全且标准的解决方案,确保网站免受XSS攻击的同时,保持内容的整洁和规范。在实际应用中,结合合理的配置和持续的更新,HTML ...
Laravel开发-laravel-purifier .zip
10-05
总的来说,Laravel Purifier是Laravel框架中的一个重要安全组件,它提高了Web应用对用户输入的处理能力,防止XSS攻击,保障了应用程序的稳定性和用户数据的安全。正确地配置和使用Purifier,能够确保你在开发过程中...
Laravel开发-purifier
08-28
这包括定义白名单,只允许特定的HTML元素和属性,防止XSS攻击。 5. **使用Purifier**:在控制器或视图中,可以通过Purifier的`clean()`方法对用户输入的HTML进行过滤。例如,如果有一个用户提交的博客内容字段,...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1079
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
PHP下最好用的富文本HTML过滤器HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 1万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier
php富文本防注入_HTML Purifier,PHP中过滤富文本&防止XSS攻击
weixin_42402188的博客
03-09 611
首先引用别人的原话:HTMLPurifier:PHP防止xss跨站攻击利器xss是什么?(百度到的→)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。比如说在博客的新建文章的编辑框里输入然后保存,以后每次访问这篇文章都会弹提示框出来。怎么防止htmlpurifier的方式的过滤掉...
前端安全系列(一):如何防止XSS攻击
WLsweety的博客
02-08 2701
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。
防止XSS攻击封装
weixin_30682415的博客
08-12 381
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
使用HTML Purifier解决XSS问题
追逐
08-22 1153
在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫RemoveXSS的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修改代码使用起来很不友好,修改了却无法应对灵活的XSS攻击。  HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以
保存html标签并且防止xss,前端如何避免XSS攻击
weixin_39762001的博客
06-15 1155
什么是 XSSCross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 分类类型存储区插入点存储型XSS后端数据库HTML反射型 XSSURLHTMLDOM 型 XSS后端数据库/前端存储/UR...
为啥进行html标签编码可以防止XSS
zwbHUST的博客
12-10 2414
众所周知,html字符编码可以防止大部分的XSS攻击。一直以来有一个疑问,为什么对编码解码为<script></script>后,不会进行对此标签继续进行解析呢? 一定有一些底层的原理来解释这个问题。 解释如下: HTML解析器以状态机的方式运行,它从文档输入流中消耗字符并根据其转换规则转换到不同的状态。 示例: <html> <body> Hello world </body> </html> 1、 初始状
什么是 XSS 攻击?如何预防?
05-16
可以使用一些开源的XSS过滤器,如ESAPI和HTML Purifier。 2. 对输出进行编码:在Web应用程序中,对所有输出的数据进行编码,防止恶意脚本被执行。可以使用一些编码工具,如HTML Entity编码和JavaScript编码。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值