Question

目前我在HTMLPurifier中使用此代码以允许data-* HTML标记属性：

    $def = $config->getHTMLDefinition(true);
    $def->addAttribute('div', 'data-aaa', 'Text');
    $def->addAttribute('div', 'data-bbb', 'Text');
    // ...

我是否可以同时允许所有data-*属性，最好是在所有HTML标记上？（在我的情况下，他们不是一个安全问题 - 当然，据我所知）

Answer 1

这不是一个完整的解决方案，但我能够使用以下代码全局地列出单个data-属性，允许将它们放在任何元素上，而不必逐条列出每个属性的每个元素类型。 / p>

$def = $config->getHTMLDefinition(true);
$def->info_global_attr['data-aaa-xxx'] = new HTMLPurifier_AttrDef_Text;
$def->info_global_attr['data-bbb-yyy'] = new HTMLPurifier_AttrDef_Text;
$def->info_global_attr['data-ccc-zzz'] = new HTMLPurifier_AttrDef_Text;

Answer 2

不，如果不修改验证属性策略，就不可能。

Answer 3

此编码可以改进，但是我更改了AttrValidator.php 我添加了以下功能：

    /*=======================================
    ==--    LLS start wildcard handling
    ==--
    ==--    data-*          ^data-(((?![\s=]).)+)
    =========================================*/
    private function checkWildCardAttributes($deflist, $attr_key, $value, $config, $context) {
        $result = false;
        foreach ($deflist as $def_key => $def_value) {
            if (strpos($def_key, '*') !== FALSE) {
                // found a wildcard
                // does wildcard match this attr
                $re = implode('(((?![\s=]).)+)',explode("*",$def_key));
                preg_match('#^'.$re.'#',$attr_key,$wcout);
                if (count($wcout)>0) {
                    // the attribute matched against the wildcard definition
                    $result = $deflist[$attr_key]->validate(
                        $value,
                        $config,
                        $context
                    );
                    break;
                }
            }
        }
        return $result;
    }

在validateToken函数中找到以下行：

// put the results into effect

在此行之前添加以下内容：

                /*=======================================
                ==--    start wildcard handling
                =========================================*/
                if (!$result) {
                    // definitions
                    $result = $this->checkWildCardAttributes($defs, $attr_key, $value, $config, $context);
                    if (!$result) {
                        // global definitions
                        $result = $this->checkWildCardAttributes($d_defs, $attr_key, $value, $config, $context);
                    }   
                }   
                //=======================================


            // put the results into effect
            if ($result === false || $result === null) {

此后，您可以在属性定义中使用*通配符。例如：

    // See: AttrValidator.php in the HTMLPurifier for the wildcard addition
    $def->info_global_attr['data-*'] = new HTMLPurifier_AttrDef_Text;

就像我说的那样，它可以改进...但是可以做到：）

玩得开心....

允许使用HTMLPurifier的data- *属性

3 个答案: