purifier 常用配置 保留 id 和 iframe

最新推荐文章于 2025-11-19 04:20:27 发布
原创 最新推荐文章于 2025-11-19 04:20:27 发布 · 461 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #laravel

本文介绍了Laravel框架下Purifier HTML过滤器的使用,旨在防止XSS攻击。主要内容包括项目地址、安装步骤、配置生成、自定义配置,特别是如何保留id属性和允许特定iframe标签及其地址,并详细讲解了调用clean方法进行安全过滤的操作。

项目地址

https://github.com/mewebstudio/Purifier

Purifier 是针对 Laravel 框架的 HTML 过滤器,修复 XSS 漏洞

安装

composer require mews/purifier

生成配置

php artisan vendor:publish --provider="Mews\Purifier\PurifierServiceProvider"

自定义配置

config/purifier.php

'default' => [
    'HTML.Doctype'             => 'HTML 4.01 Transitional',
    'HTML.Allowed'             => 'div,b,strong,i,em,a[href|title],ul,ol,ol[start],li,p[style],br,span[style],img[width|height|alt|src],*[style|class],pre,hr,code,h1[id],h2,h3,h4,h5,h6,blockquote,del,table,thead,tbody,tr,th,td,iframe[width|height|src|frameborder|scrolling|allowfullscreen]',
    'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,margin,width,height,font-family,text-decoration,padding-left,color,background-color,text-align',
    'AutoFormat.AutoParagraph' => true,
    'AutoFormat.RemoveEmpty'   => true,
    'Attr.EnableID' => true,
    'HTML.SafeIframe' => true,
    'URI.SafeIframeRegexp' => "%^(http://|https://|//)(www.youtube.com/embed/|player.bilibili.com)%",
],

配置说明

'Attr.EnableID' => true, 保留 id 属性
'HTML.SafeIframe' => true, 保留 iframe 标签
'URI.SafeIframeRegexp' => "%^(http://|https://|//)(www.youtube.com/embed/|player.bilibili.com)%", 允许的 iframe 地址

调用clean方法

$article->body = clean($article->body);
支付宝红包

PHP后端开发:最新XSS防御技术深度剖析与实现
架构师的AI之路,分享AI应用开发架构的学习与实践。
07-11 380
跨站脚本攻击(XSS)作为Web应用最常见且危害巨大的安全威胁之一,长期位居OWASP Top 10榜单前列。本文将带领PHP开发者深入探索XSS攻击的本质与最新防御技术,从原理剖析到实战编码,构建全方位的XSS防御体系。我们将系统讲解输入验证、输出编码、CSP策略等核心防御手段,并通过真实案例展示如何在PHP项目中落地实施这些安全措施。无论你是初涉Web安全的开发者,还是寻求提升系统安全性的架构师,本文都将为你提供一套完整的XSS防御解决方案,助你构建真正安全可靠的PHP应用。
HTML外部为文本,将HTMLPurifier配置为以纯文本的形式显示外部链接
weixin_32300981的博客
06-19 165
好吧,我成功地定制注射器添加到HTMLPurifier,那就是:首先,在创建 “DisplayRemoteLinkURI.php”“包括\ htmlpurifier \库\ HTMLPurifier \注射器“写这在它class HTMLPurifier_Injector_DisplayRemoteLinkURI extends HTMLPurifier_Injector{public $name...
html使用iframe src,HTML IFrame src用法及代码示例
weixin_35056641的博客
06-17 2564
HTML DOM IFrame的src属性用于设置或返回元素的src属性的值。此属性用于指定嵌入到iframe元素的文档的URL。用法:它返回src属性。iframeObject.src它用于设置src属性。iframeObject.src = URL属性值:它包含一个单值URL,该URL指定嵌入到iframe中的文档的URL。下面列出了两种类型的URL链接:Absolute URL:它指向另一个...
Mewebstudio Purifier 开源项目教程
最新发布
gitblog_00109的博客
11-19 363
--- ## 项目介绍 Mewebstudio Purifier 是一个基于 PHP 的 HTML 清洗安全过滤库,旨在帮助开发者从不可信的HTML输入中去除潜在的安全风险,如XSS攻击,同时尽可能保留原始HTML结构的完整性。它利用HTMLPurifier库作为其核心引擎,提供了一个简洁的API来配置执行清理过程,适合在Web应用中对用户提交的内容进行安全处理。 ## 项目快速启动
php lego 组件,GitHub - zhwei/laravel-lego: 像搭lego积木一样在Laravel中组建你的产品。Inspired by https://github.com/zo...
weixin_42445886的博客
04-05 344
Laravel-Lego注意:lego尚处于开发阶段,1.0版本发布之前主要接口仍有调整的可能性,请注意查看 release note !ExampleUserController.php$form = Lego::form(new User());$form->addText('number', '编号')->required()->rule('numeric')->u...
HTML Purifier --非常好用的XSS过滤器
u010128133的博客
06-27 6247
# HTML Purifier # >前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。 >使用过程中虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。 >因此在此写下经理的过程以作记录,也说不定能帮助到别人 ### HTML Purifier 简介 ### [HTML Pur
CKEditor 3.1 所见即所得HTML编辑器配置指南
因此,在接收CKEditor提交的内容时,服务端应使用HTML净化库(如PHP的HTML Purifier、Python的bleach等)对内容进行清洗,仅保留安全的标签属性。 综上所述,CKEditor 3.1不仅是一个实用的前端组件,更是理解Web...
purifier用来过滤危险的标签xss
gaokcl的博客
07-21 581
htmlpurifier下载地址: http://htmlpurifier.org/ purifier下载地址:https://github.com/mewebstudio/Purifier laravel <?php /** * 富文本编辑器 * purifier 用来过滤危险的标签 * VERSION: '4.11.0' * url: http://...
Laravel防范xss攻击
Sumshine12.5
04-10 3040
XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 解决办法:永远不要信任用户提交得数据。 这里我们通过HTMLPuifier for Laravel 对用户提交的内容过滤 安装HTMLPurifi...
angular4实现嵌入网页-iframe,并实现安全url(safe管道)-angular的DomSanitizer
小武的博客
05-04 7858
1. html中利用iframe嵌入网页orbitUrl,“|safe”运用angular4管道的知识&lt;iframe id='orbitIframe' [src]="orbitUrl|safe" width="100%" height="100%" frameborder="0" align="center"&gt;&lt;/iframe&gt;2. ts中把impor
PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 2万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击! HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier
LaravelPurifier扩展包防止XSS攻击
johnhan9的博客
03-25 1397
HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击。 针对XSS跨站攻击,一般有两种方法避免 对用户提交的数据进行过滤 对显示数据进行特殊处理,一般用htmlspecialchars()实体化处理 laravel的blade引擎中{{ }}会自动调用PHP的htmlspecialchars()来避免XSS攻击,而HTMLPur...
htmlpurifier 过滤危险的JS代码
weixin_30729609的博客
07-17 252
在公共函数function里面 // 有选择性的过滤XSS --》 说明:性能非常低-》尽量少用function removeXSS($data){ require_once './HtmlPurifier/HTMLPurifier.auto.php'; $_clean_xss_config = HTMLPurifier_Config::createDefault(); $...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值