使用HTML Purifier解决XSS问题

最新推荐文章于 2024-08-10 07:28:28 发布
最新推荐文章于 2024-08-10 07:28:28 发布
阅读量247 收藏
点赞数
分类专栏: php 文章标签: HTML PHP XML XHTML
本文介绍了一款基于PHP5的HTML过滤器HTMLPurifier,它不仅能够有效防止XSS攻击,还能修正不规范的HTML代码。文章详细阐述了如何安装配置及使用此工具,并提供了具体的示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫[url=http://kallahar.com/smallprojects/php_xss_filter_function.php]RemoveXSS[/url]的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修改代码使用起来很不友好,修改了却无法应对灵活的XSS攻击。

[url=http://htmlpurifier.org/]HTML Purifier[/url]是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML,是WYSIWYG编辑器的福音。。

[size=medium][b]一、使用HTML Purifier的要求[/b][/size]
[list]
[*]php 5+
[*]iconv
[*]bcmath
[*]tidy
[/list][size=medium][b]二、基本用法[/b][/size]
默认下,使用UTF-8编码,和XHTML 1.0 Transitional文档类型. 
<?php
require_once 'library/HTMLPurifier.includes.php';

$dirty_html = <<<EOF
<h1>Hello
<script>alert("world");</script>
EOF;

$purifier = new HTMLPurifier();

$cleanHtml = $purifier->purify($dirty_html);

输出: 
<h1>Hello
</h1>

[list]
[*]过滤了XSS代码,过滤规则:[url]http://htmlpurifier.org/live/smoketests/xssAttacks.php[/url]
[*]自动填充了残缺的标签
[/list][size=medium][b]三、使用配置[/b][/size]
配置主要用于设置规则,使用比较简单 
$config = HTMLPurifier_Config::createDefault();
// something....
$purifier = new HTMLPurifier($config);

详细的配置规则:[url]http://htmlpurifier.org/live/configdoc/plain.html[/url]

[size=medium][b]四、属性相关规则[/b][/size]
[b]1.id规则[/b]
默认下,HTML Purifier是不允许使用id的,可以通过Attr.EnableID选项来控制,当允许使用id的时候,有点需要注意,id只允许全局一个,后面重复的都会被去掉。 
$config->set('Attr.EnableID', true); // 允许使用id
$config->set('Attr.IDPrefix', 'test_'); // 给所有id加上前缀test_
$config->set('Attr.IDBlacklist', array( // 设置黑名单,会过滤掉设置的id,如果设置了id前缀,要把前缀也加上
    'test_black_list'
));
$config->set('Attr.IDBlacklistRegexp', '/list_\d+/'); // 黑名单,使用正则匹配

输入: 
<a id="test_by_willko" href="aa">adf</a>
<a id="black_list" href="aa">adf</a>
<a id="black_list_2" href="aa">adf</a>

输出: 
<a id="test_by_willko" href="aa">adf</a>
<a href="aa">adf</a>
<a href="aa">adf</a>

[b]2.class规则[/b]
默认下,是允许所有的class。属性Attr.AllowedClasses用于设置允许的class名,没被设置的class将被拒绝使用。而Attr.ForbiddenClasses则用于设置拒绝使用的class名。 
$config->set('Attr.AllowedClasses', array( // 设置允许使用的class名
	'test_by_willko'
));
$config->set('Attr.ForbiddenClasses', array( // 设置拒绝使用的class名
	'ignore'
));

输入: 
<p class="test_by_willko">12345</p>
<p class="ignore">78900</p>

输出: 
<p class="test_by_willko">12345</p>
<p>78900</p>


[size=medium][b]四、HTML相关规则[/b][/size]
最近,身体不适,待续...

参考资料:
[url]http://htmlpurifier.org/live/INSTALL[/url]
[url]http://htmlpurifier.org/docs[/url]
HTML Purifier --非常好用的XSS过滤器
u010128133的博客
06-28 1006
HTML Purifier HTML Purifier 是一个用 PHP 编写的标准、兼容的 HTML 过滤器,支持自定义标签、属性、过滤规则。 可以有效的防止 XSS 攻击!
php插件 HTMLPurifier HTML解析器
motian06的专栏
10-12 3108
HTMLPurifier插件的使用 下载HTMLPurifier插件 HTMLPurifier插件有用的部分是 library 使用HTMLPurifier library类库 第一种方式 <?php require_once 'HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); ?>
过滤XSSHTMLPurifier使用
weixin_34392843的博客
01-21 176
什么是HTMLPurifier? 在php解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。 HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML,是WYSIWYG编辑器的福音。。 官方下载地址:http://htmlpurifier.org/dow...
推荐:HTML Purifier - 安全可靠的HTML过滤库
gitblog_00229的博客
08-10 331
推荐:HTML Purifier - 安全可靠的HTML过滤库 项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 在Web开发中,处理用户输入的HTML数据始终是一项挑战。如何确保来自不可信源的内容既富于格式,又不会引发跨站脚本(XSS)攻击呢?这就是HTML Purifier大显身手的地方。 项目介绍 HTML Purifier是一个强大的H...
htmlpurifier:用PHP编写的符合标准HTML过滤器
04-12
HTML净化器 HTML Purifier是一种HTML筛选解决方案,它使用了强大的白名单和主动解析的独特组合,以确保不仅阻止XSS攻击,而且确保生成HTML符合标准。 HTML Purifier面向需要CSS和完整标签集的不受信任来源的格式丰富的文档。 可以将该库配置为接受一组限制性更强的标签,但是它不如更多的准系统分析器有效。 但是,它将做对工作,这可能更为重要。 要去的地方: 请参阅安装以获取快速安装指南 有关面向开发人员的文档,代码示例和深入的安装指南,请参阅docs /。 有关TinyMCE和FCKeditor等编辑器的信息,请参见所见即所得 可以在以下网站上找到HTML Purifier: : 安装 软件包可在。 如果您使用Composer来管理依赖项,则可以使用 $ composer require ezyang/htmlpurifier
HTML Purifier: 防止XSSPHP富文本过滤器库
使用HTML Purifier可以大大减少XSS攻击的风险,通过允许或拒绝HTML元素和属性的白名单机制,来确保页面内容的安全。 HTML Purifier 的工作原理是将用户输入的HTML代码进行解析和过滤,首先根据预设的白名单删除所有...
PHP开发中防止XSS攻击的HTML Purifier标准过滤器
3. 可配置的标签集:开发者可以根据需要配置允许使用的标签集,这使得HTML Purifier既灵活又强大。虽然配置严格的标签集可能导致一些非标准但无害的标签被过滤掉,但这仍然是一个有益的安全措施。 4. 支持CSS和完整...
HTML Purifier-开源
05-13
这个PHP库的出现,主要是为了解决HTML输入的安全问题,特别是防止跨站脚本攻击(XSS)。XSS攻击是通过在网页上注入恶意脚本,从而在用户浏览器中执行,可能危害用户的个人信息安全。 HTML Purifier的工作原理基于一...
白盒审计下XSS Filter绕过技巧详解及解决方案
最新发布
11-17
同时提出了多种有效的富文本XSS防护方案,如使用HTML Purifier、UBB代码和Markdown。 适合人群:从事Web应用开发与安全研究人员,尤其是对XSS攻击有一定了解的技术人员。 使用场景及目标:帮助开发者深入了解XSS攻击...
HTMLPurifier - 富文本HTML过滤器,样式被过滤
熊猫路人
06-08 1214
简答介绍 :HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击 开发中遇到的问题,在使用富文本编辑器选择表情包提交后,前台发现表情包展示不出来,发现存在数据库里面的数据不完整 原格式 <p> <img src="http://forum.cn/static/js/summernote/tam-emoji/img/blank.gif" class="img" style="display:inline-block;width
htmlpurifier-4.7.0-standalone.zip
10-07
HTML Purifier is a standards-compliant HTML filter library written in PHP. 非常不错的HTML富文本过滤库,当前最新版本4.7.0,从官网下载。SHA1校验:7F88181E3174AE6D1A124451E32CE7212C4482F2
封装HTMLPurifier的富文本过滤器实现自定义白名单机制
08-07
简单封装HTMLPurifier的富文本过滤器,自定义白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击!
HTMLPurifier:安全HTML过滤与清理的利器
gitblog_00060的博客
03-22 653
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 是一个开源PHP库,专门用于清洗和规范化不安全的HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HTMLPuri...
php htmlpurifier,htmlpurifierPHP过滤库
weixin_39832628的博客
03-11 207
htmlpurifierPHP过滤库require_once '/path/to/HTMLPurifier.auto.php';根据ThinkPHP的规范,对于第三方扩展,不符合ThinkPHP开发规范的,需要将HTMLPurifier放入到Library/Vendor目录中。然后我们可以在方法中通过下面方法将HTMLPurifier.auto.php引入到框架程序中:vendor('htmlpu...
htmlpurifier-富文本编辑器过滤XSS
weixin_30597269的博客
04-26 314
本帖语言环境:php;开发框架:TP3.2; 1、htmlpurifier-4.6.0下载地址:https://files.cnblogs.com/files/samgo/htmlpurifier-4.6.0.zip 将下载好的压缩包解压,修改名称为htmlpurifier,放在如下目录: 2、定义公共函数clearXSS(),路径:Application/Common/Common/f...
PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程
热门推荐
hanzengyi的专栏
01-22 2万+
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击! HTMLPurifier项目地址:http://htmlpurifier.org 一、如何在程序中调用HTMLPurifier 1、一般性调用 根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier
使用HTML Purifier防止xss攻击
x_xuyuan的博客
10-14 321
下载地址:http://htmlpurifier.org/download 在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样...
HTML Purifier 使用教程
gitblog_00952的博客
08-10 452
HTML Purifier 使用教程 htmlpurifierStandards compliant HTML filter written in PHP项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 1. 项目的目录结构及介绍 HTML Purifier 是一个用于过滤和净化 HTML 的开源项目,其目录结构如下: htmlpurifie...
HTMLPurifier 使用教程
gitblog_00346的博客
08-10 489
HTMLPurifier 使用教程 htmlpurifierStandards compliant HTML filter written in PHP项目地址:https://gitcode.com/gh_mirrors/ht/htmlpurifier 项目介绍 HTMLPurifier 是一个基于 PHP 编写的标准 HTML 过滤器,旨在清洗和规范化不安全的 HTML 输入,确保输出的内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值