Is there an easy way to remove with php php字符串中的任何类型的事件HTML。例如,对于事件提交,mouseOut,mouseOver,单击,模糊,焦点等以防止javascript注入,对于以下情况:
有一种简单的方法可以在php srtring中删除 with php 任何类型的事件HTML。例如,对于提交,mouseOut,mouseOver,click,blur,focus等的事件,以防止javascript注入,对于这样的情况:
$text= 'mi secure html <div id="javascript_injection" onfocus=function(){SomeJavaScriptCode}></div> <p> Im interested in showing the resulting html </p>'
echo $text = 'mi secure html <div id="javascript_injection" > example </div> <b> Im interested in showing the resulting html </b>
我也有兴趣展示这个:
'mi secure html <div id="javascript_injection" > example </div> <b> Im interested in showing the resulting html </b>
PD:我无法转义所有文字或删除所有代码,因为如果我想在html中展示,有些部分。Imagine you want to show a user creates html to another and want to avoid the injection of javascript
答案 0 :(得分:4)
解决此类问题的最佳方法是通过白名单而不是黑名单。我们的想法是,您可以定义允许的标记/属性,而不是尝试过滤掉不良内容。
处理此问题的好库是http://htmlpurifier.org/。您可以对其进行自定义,以便允许您保留的内容。
require_once '/path/to/HTMLPurifier.auto.php';
$dirty_html = '<a href="test.html" onclick="alert()">Test</a>'
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);
echo $clean_html
输出:
<a href="test.html">Test</a>