使用HTML Purifier解决XSS问题

最新推荐文章于 2025-03-05 20:02:05 发布
最新推荐文章于 2025-03-05 20:02:05 发布
阅读量1.2k 收藏
点赞数
分类专栏: XSS
在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫 RemoveXSS 的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修改代码使用起来很不友好,修改了却无法应对灵活的XSS攻击。 

HTML Purifier 是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML,是WYSIWYG编辑器的福音。。 

一、使用HTML Purifier的要求  
  • php 5+
  • iconv
  • bcmath
  • tidy
二、基本用法  
默认下,使用UTF-8编码,和XHTML 1.0 Transitional文档类型. 
Php代码   收藏代码
  1. <?php  
  2. require_once 'library/HTMLPurifier.includes.php';  
  3.   
  4. $dirty_html = <<<EOF  
  5. <h1>Hello  
  6. <script>alert("world");</script>  
  7. EOF;  
  8.   
  9. $purifier = new HTMLPurifier();  
  10.   
  11. $cleanHtml = $purifier->purify($dirty_html);  

输出: 
Html代码   收藏代码
  1. <h1>Hello  
  2. </h1>  

三、使用配置  
配置主要用于设置规则,使用比较简单 
Php代码   收藏代码
  1. $config = HTMLPurifier_Config::createDefault();  
  2. // something....  
  3. $purifier = new HTMLPurifier($config);  

详细的配置规则: http://htmlpurifier.org/live/configdoc/plain.html  

四、属性相关规则  
1.id规则  
默认下,HTML Purifier是不允许使用id的,可以通过Attr.EnableID选项来控制,当允许使用id的时候,有点需要注意,id只允许全局一个,后面重复的都会被去掉。 
Php代码   收藏代码
  1. $config->set('Attr.EnableID', true); // 允许使用id  
  2. $config->set('Attr.IDPrefix''test_'); // 给所有id加上前缀test_  
  3. $config->set('Attr.IDBlacklist'array// 设置黑名单,会过滤掉设置的id,如果设置了id前缀,要把前缀也加上  
  4.     'test_black_list'  
  5. ));  
  6. $config->set('Attr.IDBlacklistRegexp''/list_\d+/'); // 黑名单,使用正则匹配  

输入:
Java代码   收藏代码
  1. <a id="test_by_willko" href="aa">adf</a>  
  2. <a id="black_list" href="aa">adf</a>  
  3. <a id="black_list_2" href="aa">adf</a>  

输出:
Java代码   收藏代码
  1. <a id="test_by_willko" href="aa">adf</a>  
  2. <a href="aa">adf</a>  
  3. <a href="aa">adf</a>  

2.class规则  
默认下,是允许所有的class。属性Attr.AllowedClasses用于设置允许的class名,没被设置的class将被拒绝使用。而Attr.ForbiddenClasses则用于设置拒绝使用的class名。 
Php代码   收藏代码
  1. $config->set('Attr.AllowedClasses'array// 设置允许使用的class名  
  2.     'test_by_willko'  
  3. ));  
  4. $config->set('Attr.ForbiddenClasses'array// 设置拒绝使用的class名  
  5.     'ignore'  
  6. ));  

输入:
Java代码   收藏代码
  1. <p class="test_by_willko">12345</p>  
  2. <p class="ignore">78900</p>  

输出:
Java代码   收藏代码
  1. <p class="test_by_willko">12345</p>  
  2. <p>78900</p>  


参考资料: 
http://htmlpurifier.org/live/INSTALL  

http://htmlpurifier.org/docs


原文:http://willko.iteye.com/blog/475493

HTML Purifier --非常好用的XSS过滤
u010128133的博客
06-28 1011
HTML Purifier HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。 可以有效的防止 XSS 攻击!
HTML Purifier-开源
05-13
这个PHP库的出现,主要是为了解决HTML输入的安全问题,特别是防止跨站脚本攻击(XSS)。XSS攻击是通过在网页上注入恶意脚本,从而在用户浏览器中执行,可能危害用户的个人信息安全。 HTML Purifier的工作原理基于一...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
使用HTMLPurifier防止跨站攻击(XSS)
北漂人的博客
08-31 444
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。
XSS 的攻击和防御
最新发布
2301_78098265的博客
03-05 1406
反射性和 DOM-based 型属于非持久性的 XSS 攻击;而存储型则是一种持久性的 XSS 攻击形式。
过滤XSSHTMLPurifier使用
weixin_34392843的博客
01-21 178
什么是HTMLPurifier? 在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。 HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML,是WYSIWYG编辑器的福音。。 官方下载地址:http://htmlpurifier.org/dow...
使用HTML Purifier防止xss攻击
x_xuyuan的博客
10-14 323
下载地址:http://htmlpurifier.org/download 在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样...
HTML Purifier: 防止XSS的PHP富文本过滤器库
使用HTML Purifier可以大大减少XSS攻击的风险,通过允许或拒绝HTML元素和属性的白名单机制,来确保页面内容的安全。 HTML Purifier 的工作原理是将用户输入的HTML代码进行解析和过滤,首先根据预设的白名单删除所有...
PHP开发中防止XSS攻击的HTML Purifier标准过滤
3. 可配置的标签集:开发者可以根据需要配置允许使用的标签集,这使得HTML Purifier既灵活又强大。虽然配置严格的标签集可能导致一些非标准但无害的标签被过滤掉,但这仍然是一个有益的安全措施。 4. 支持CSS和完整...
白盒审计下XSS Filter绕过技巧详解及解决方案
11-17
同时提出了多种有效的富文本XSS防护方案,如使用HTML Purifier、UBB代码和Markdown。 适合人群:从事Web应用开发与安全研究人员,尤其是对XSS攻击有一定了解的技术人员。 使用场景及目标:帮助开发者深入了解XSS攻击...
HTML Purifier解决XSS问题
chouyiji8502的博客
09-13 246
基本用法 默认下,使用UTF-8编码,和XHTML 1.0 Transitional文档类型. require_once '/path/to/HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); $...
HTMLPurifier防止跨站攻击(XSS)
只为成功找方法-不为失败找理由
09-13 644
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下 什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这 还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户 的特殊目
htmlpurifier-富文本编辑器过滤XSS
weixin_30597269的博客
04-26 314
本帖语言环境:php;开发框架:TP3.2; 1、htmlpurifier-4.6.0下载地址:https://files.cnblogs.com/files/samgo/htmlpurifier-4.6.0.zip 将下载好的压缩包解压,修改名称为htmlpurifier,放在如下目录: 2、定义公共函数clearXSS(),路径:Application/Common/Common/f...
PHP中 HTMLPurifierXSS攻击
郑宗强的博客
04-27 464
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击! HTMLPurifier项目地址:http://htmlpurifier.org 配置方法记录下来,以备工作中使用! /** * * @param [type] $string [要过滤的内容] * @return ...
php htmlspecialchars xss,php – 正确使用时,htmlspecialchars是否足以保护所有XSS
weixin_30160343的博客
03-10 155
htmlspecialchars()足以防止文档创建时间HTML注入与您所述的限制(即不注入标签内容/未引用属性).但是还有其他种类的注射可以导致XSS:There are no tags in the document.这种情况并不涵盖JS注射的所有情况.例如,您可能有一个事件处理程序属性(需要在HTML转义中进行JS转义):...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值