Filter · PHP筆記

## **Custom** 該指令可用于添加自定義過濾器；它幾乎等同于現在不建議使用的`HTMLPurifier->addFilter()`方法。指定一系列具體實現。 ## **ExtractStyleBlocks.Escaping** 是否將危險字符和＆分別轉義為\\ 3C，\\ 3E和\\ 26。如果將StyleBlocks的內容放置在外部樣式表中，則可以將其安全地設置為false，這樣就不會將其解釋為HTML。 ## **ExtractStyleBlocks.Scope** 如果您希望用戶能夠定義外部樣式表，但僅允許他們為特定節點指定CSS聲明并防止他們與其他元素打交道，請使用此偽指令。它接受任何有效的CSS選擇器，并將其添加到從文檔中提取的任何CSS聲明之前。例如，如果將此指令設置為，`#user-content`并且用戶使用選擇器`a:hover`，則最終選擇器將為`#user-content a:hover`。可以使用逗號的縮寫；考慮上面的示例，使用`#user-content, #user-content2`，最終選擇器將為`#user-content a:hover, #user-content2 a:hover`。 **警告：**用戶可能會使用頑皮的+選擇器來繞過此措施。這是CSS Tidy 1.3中的錯誤，而不是HTML Purifier中的錯誤，我正在努力修復它。在此之前，HTML Purifier會執行基本檢查以防止這種情況。 ## **ExtractStyleBlocks.TidyImpl** 如果保留為NULL，HTML Purifier將嘗試實例化一個`csstidy`類以用于內部清理。通常這將足夠好。但是，對于受信任的用戶輸入，可以將其設置`false`為禁用清理。此外，您可以提供自己的Tidy接口的具體實現，以供使用，盡管我不知道您為什么要這么做。 ## **ExtractStyleBlocks** 該指令打開樣式塊提取過濾器，該過濾器`style`從輸入HTML中刪除塊，使用CSSTidy清理它們，并將其放置在`StyleBlocks`context變量中，以供您進一步使用，通常放置在外部樣式表中，或放置`style`在在`head`您的文檔。用法示例： ~~~ <?php header('Content-type: text/html; charset=utf-8'); echo '<?xml version="1.0" encoding="UTF-8"?>'; ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en"> <head> <title>Filter.ExtractStyleBlocks</title> <?php require_once '/path/to/library/HTMLPurifier.auto.php'; require_once '/path/to/csstidy.class.php'; $dirty = '<style>body {color:#F00;}</style> Some text'; $config = HTMLPurifier_Config::createDefault(); $config->set('Filter', 'ExtractStyleBlocks', true); $purifier = new HTMLPurifier($config); $html = $purifier->purify($dirty); // This implementation writes the stylesheets to the styles/ directory. // You can also echo the styles inside the document, but it's a bit // more difficult to make sure they get interpreted properly by // browsers; try the usual CSS armoring techniques. $styles = $purifier->context->get('StyleBlocks'); $dir = 'styles/'; if (!is_dir($dir)) mkdir($dir); $hash = sha1($_GET['html']); foreach ($styles as $i => $style) { file_put_contents($name = $dir . $hash . "_$i"); echo '<link rel="stylesheet" type="text/css" href="'.$name.'" />'; } ?> </head> <body> <div> <?php echo $html; ?> </div> </body> </html> ~~~ **警告：**用戶可能會使用此CSS發起圖像崩潰攻擊。對策很困難；僅僅限制CSS長度的范圍是不夠的（使用具有許多嵌套級別的相對長度允許在沒有在樣式表中實際指定它們的情況下獲得較大的值），并且選擇器的靈活性使得難以有選擇地禁用長度圖像標簽（但是HTML Purifier不會在嵌入式樣式中禁用CSS寬度和高度）。可能有兩種有效的對策：將顯式的寬度和高度設置為自動在文檔中的所有圖像中（不太可能），或者禁用寬度和高度（某種程度上合理）。是否應使用這些措施留給讀者。 ## **YouTube** **警告：**不建議使用[％HTML.SafeObject](http://htmlpurifier.org/live/configdoc/plain.html#HTML.SafeObject)和[％Output.FlashCompat](http://htmlpurifier.org/live/configdoc/plain.html#Output.FlashCompat)（將二者都啟用以允許YouTube視頻和其他Flash內容）。此指令可將YouTube視頻嵌入HTML Purifier中。[有關嵌入](http://htmlpurifier.org/docs/enduser-youtube.html)過濾器的更多信息，請查看[此文檔](http://htmlpurifier.org/docs/enduser-youtube.html)。