HTML Purifier文檔 · PHP筆記

針對XSS跨站攻擊，一般有兩種方法避免 1. 對用戶提交的數據進行過濾 2. 對顯示數據進行特殊處理，一般用htmlspecialchars()實體化處理而HTMLPurifier就是第一種方法，其實就類似于白名單機制，不在白名單的內容會被過濾掉 HTML Purifier是一個HTML過濾器，它將獲取任意的HTML代碼段，并對其進行嚴格的測試，驗證和過濾，以確保可以安全地輸出到網頁上。它通過以下方式實現此目的： 1. 分析（解析為符號）文檔， 2. 對符號執行各種策略： 1. 刪除不在白名單中的所有元素， 2. 使符號格式正確， 3. 修復節點的嵌套 4. 驗證節點的屬性 3. 使用凈化后的符號生成HTML。 [HTMLPurifier類文件屬性方法說明](http://htmlpurifier.org/doxygen/html/index.html) 但是，大多數用戶只需要與[HTMLPurifier](http://htmlpurifier.org/doxygen/html/classHTMLPurifier.html "協調HTML Purifier的子系統以凈化HTML的外觀。")和[HTMLPurifier\_Config](http://htmlpurifier.org/doxygen/html/classHTMLPurifier__Config.html "觸發可自定義行為的配置對象。")交互即可。 ### ％HTML.Allowed是什么意思？是HTML Purifier的配置指令的簡寫形式。它采用％Namespace.Directive的形式。出于實際目的，％HTML.Allowed轉換為以下PHP代碼： ~~~ $config->set('HTML', 'Allowed', $value); ~~~ ### 我不能在`a`標簽中使用`target`和`name`屬性！ [％Attr.AllowedFrameTargets](http://htmlpurifier.org/live/configdoc/plain.html#Attr.AllowedFrameTargets)