HTMLPurifier verhindert XSS-Angriffe in PHP-PHP-Tutorial-php.cn

HTMLPurifier verhindert XSS-Angriffe in PHP

不言

Freigeben： 2023-03-25 06:06:02

Original

1801 Leute haben es durchsucht

Dieser Artikel stellt den Inhalt von HTMLPurifier in PHP vor, um XSS-Angriffe zu verhindern. Er hat einen gewissen Referenzwert. Jetzt können Freunde in Not darauf verweisen.

HTMLPurifier ist der beste, den ich je hatte Der PHP-Rich-Text-HTML-Filter verwendet einen Whitelist-Mechanismus, der illegale HTML-Tags in Benutzerübermittlungsformularen effektiv eliminiert und so XSS-Angriffe verhindert.

HTMLPurifier项目地址：http://htmlpurifier.org

Nach dem Login kopieren

Notieren Sie die Konfigurationsmethode für die Verwendung bei der Arbeit!

/**
 * 
 * @param  [type] $string [要过滤的内容]
 * @return [type]         [description]
 */function filterXSS($string){    //相对index.php入口文件，引入HTMLPurifier.auto.php核心文件
    require_once &#39;./Public/Admin/htmlpurifier/HTMLPurifier.auto.php&#39;;    // 生成配置对象
    $cfg = HTMLPurifier_Config::createDefault();    // 以下就是配置：
    $cfg -> set(&#39;Core.Encoding&#39;, &#39;UTF-8&#39;);    // 设置允许使用的HTML标签
    $cfg -> set(&#39;HTML.Allowed&#39;,&#39;p,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]&#39;);    // 设置允许出现的CSS样式属性
    $cfg -> set(&#39;CSS.AllowedProperties&#39;, &#39;font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align&#39;);    // 设置a标签上是否允许使用target="_blank"
    $cfg -> set(&#39;HTML.TargetBlank&#39;, TRUE);    // 使用配置生成过滤用的对象
    $obj = new HTMLPurifier($cfg);    // 过滤字符串
    return $obj -> purify($string);
}

Nach dem Login kopieren

Die Filterfunktion von HTMLPurifier ist sehr leistungsfähig. Hier erklären wir hauptsächlich, wie die Konfiguration geschrieben wird. Erst nachdem die Konfiguration abgeschlossen ist, können wir sie erweitern.

                                                                              ——用别人的微笑，点缀自己的生活，献给奋斗中的自己。

Nach dem Login kopieren

Verwandte Empfehlungen:

Verwenden von exec zum Aufrufen von Systembefehlen in PHP

Detaillierte Analyse und allgemeine Verwendung von PHP Curl mit CURL in PHP Pit

Das obige ist der detaillierte Inhalt vonHTMLPurifier verhindert XSS-Angriffe in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!