使用自定义过滤器使用csstidy清理CSS

时间:2018-10-06 10:14:07

标签: php css htmlpurifier csstidy

我允许我的网站用户直接编辑css文件,以便他们可以重新装修所有内容。但是我想删除所有危险代码(可能是危险的)。例如,我喜欢删除@import-moz-binding: url('http://virus.com/htmlBindings.xml');background-image: url(javascript:alert('Injected'));等类似内容,以便我的网站始终保持安全。 我目前正在使用phppurifycsstidy。但是问题是,它也删除了想要的CSS样式。像

$input_css = "
    body {
        margin: 0px;
        padding: 0px;
        /* JS injection */
        background-image: url(javascript:alert('Injected'));
    }
    a {
        color: #ccc;
        text-decoration: none;
        /* dangerous proprietary IE attribute */
        behavior:url(hilite.htc);
        /* dangerous proprietary FF attribute */
        -moz-binding: url('http://virus.com/htmlBindings.xml');
    }
    .banner {
        position: absolute;
        top: 0px;
        left: 0px;
    }
";

它仅返回a { color:#ccc; text-decoration:none } .banner { }。我只想跳过危险的属性。我正在使用的代码是:

$config = HTMLPurifier_Config::createDefault();
$config->set('Filter.ExtractStyleBlocks', True);

// Create a new purifier instance
$purifier = new HTMLPurifier($config);

// Turn off strict warnings (CSSTidy throws some warnings on PHP 5.2+)
$level = error_reporting(E_ALL & ~E_STRICT);
$html = $purifier->purify('<style>'.$input_css.'</style>');
// Revert error reporting
error_reporting($level);
// The "style" blocks are stored seperately
$output_css = $purifier->context->get('StyleBlocks');
// Get the first style block
var_dump( $output_css[0] );

0 个答案:

没有答案