## **Allowed** 許使用的元素和屬性`element1[attr1|attr2],element2...`。例如，如果您只想允許段落和鏈接，請指定`a[href],p`。您可以使用星號指定適用于所有元素的屬性，例如`*[lang]`。您也可以使用換行符代替逗號來分隔元素。 **警告**：組件指令上的所有約束仍將強制執行。語法是TinyMCE白名單的*子集*`valid_elements`：直接在此處復制粘貼可能會導致白名單損壞。如果設置了[％HTML.AllowedElements](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedElements)或[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)，則此偽指令無效。 ## **AllowedAttributes** 如果HTML Purifier的屬性集不令人滿意，請重載它！全局屬性（樣式，id，類，dir，lang，xml：lang）的語法為“ tag.attr”或“ \* .attr”。 **警告：**如果另一個指令與此處的元素沖突，則*該*指令將獲勝并被覆蓋。例如，在此偽指令中，[％HTML.EnableAttrID](http://htmlpurifier.org/live/configdoc/plain.html#HTML.EnableAttrID)將優先于\* .id。您必須先將該指令設置為true，然后才能使用ID。 ## **AllowedComments** 白名單，該白名單指示應允許哪些顯式注釋主體，以模數開頭和結尾的空格為模。另請參見[％HTML.AllowedCommentsRegexp](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedCommentsRegexp)（這些指令結合在一起，因此，如果任何指令認為注釋有效，則該注釋被視為有效。） ## **AllowedCommentsRegexp** 一個正則表達式，如果它與注釋的正文匹配，則表示應允許它。在運行此正則表達式之前，先刪除尾隨空格和前導空格。**警告：**請確保指定正確的錨元字符`^regex$`，否則您可能會接受您并非故意的注釋！特別是，正則表達式`/foo|bar/`可能不夠嚴格，因為它也允許`foobar`。另請參見[％HTML.AllowedComments](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedComments)（這些偽指令結合在一起，因此，如果任何偽指令認為其有效，則注釋被視為有效。） ## **AllowedElements** 如果HTML Purifier的標簽集不能滿足您的需求，則可以使用自己允許的標簽列表重載它。如果更改此設置，則可能還需要更改[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)；另請參見[％HTML.Allowed](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Allowed)，它允許您同時設置允許的元素和屬性。 如果嘗試允許HTML Purifier不知道的元素，則HTML Purifier將引發錯誤。您將需要使用[高級自定義功能](http://htmlpurifier.org/docs/enduser-customize.html)來手動告知HTML Purifier有關此元素的信息[。](http://htmlpurifier.org/docs/enduser-customize.html) **警告：**如果另一個指令與此處的元素沖突，則*該*指令將獲勝并被覆蓋。 ## **AllowedModules** doctype附帶了一組常用模塊。無需費心使用doctype，您可以通過指定希望使用此偽指令允許的模塊來快速激活或禁用這些模塊。這對于單元測試特定模塊最有用，盡管最終用戶可能會發現對自己的目標有用。 如果您指定了不存在的模塊，則管理器將默默地使它無法使用，因此請小心！用戶定義的模塊不受此指令的影響。[％HTML.CoreModules](http://htmlpurifier.org/live/configdoc/plain.html#HTML.CoreModules)中定義的模塊不受此指令的影響。 ## **Attr.Name.UseCDATA** 由于DTD的限制，W3C規范DTD將name屬性定義為CDATA，而不是ID。在某些文檔中，需要這種寬松的行為，無論是指定重復的名稱還是指定將是非法ID的名稱（例如，以數字開頭的名稱。）將此配置指令設置為true即可使用寬松的解析。規則。 ## **BlockWrapper** 元素的字符串名稱，用于包裝塊上下文中的內聯元素。這僅在嚴格模式下出現在blockquote的子級中。 例如：按默認值，`<blockquote>Foo</blockquote>`將成為`<blockquote><p>Foo</p></blockquote>`。`<p>`只要標簽是塊級元素，就可以用任何您想要的標簽替換標簽。 ## **CoreModules** 某些模塊化的doctype（即XHTML）具有必須包含的某些模塊才能使doctype成為符合要求的文檔類型：將這些模塊放在此處。默認情況下，使用XHTML的核心模塊。您可以將其設置為空白陣列以禁用核心模塊保護，但是不建議這樣做。 ## **CustomDoctype** 適用于定義了自己的文檔類型的高級用戶的自定義文檔類型。僅在[％HTML.Doctype](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Doctype)為空白時，此指令才適用。 ## **DefinitionID** 自定義HTML定義的唯一標識符。如果編輯HTMLDefinition的原始版本，并引入配置對象未反映的更改，則必須指定此變量。如果更改自定義編輯，則應更改此指令或清除緩存。例： ~~~ $config = HTMLPurifier_Config::createDefault(); $config->set('HTML', 'DefinitionID', '1'); $def = $config->getHTMLDefinition(); $def->addAttribute('a', 'tabindex', 'Number'); ~~~ ## **DefinitionRev** [％HTML.DefinitionID中](http://htmlpurifier.org/live/configdoc/plain.html#HTML.DefinitionID)指定的自定義定義的修訂標識符。這具有相同的目的：唯一地標識您的自定義定義，但是在時間順序上是這樣的：版本3比版本2更新得多。因此，當遞增版本3時，緩存處理就足夠聰明以清除定義的所有較舊版本，以及刷新緩存。 ## **Doctype** 過濾期間要使用的文檔類型。從技術上講，這實際上不是doctype（因為它不能標識相應的DTD），但是為了簡單起見，我們使用此名稱。當為非空白時，它將覆蓋所有較舊的指令，例如[％HTML.XHTML](http://htmlpurifier.org/live/configdoc/plain.html#HTML.XHTML)或[％HTML.Strict](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Strict)。 ## **FlashAllowFullScreen** 是否允許[％HTML.SafeObject中的](http://htmlpurifier.org/live/configdoc/plain.html#HTML.SafeObject)嵌入式Flash內容擴展到全屏。對應于`allowFullScreen`參數。 ## **ForbiddenAttributes** 盡管此偽指令類似于[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)，但為了與XML具有向前兼容性，此屬性具有不同的語法。代替`tag.attr`使用`tag@attr`。要禁止標記中的`href`屬性`a`，請將此偽指令設置為`a@href`。您還可以使用`attr`或全局禁止屬性`*@attr`（兩種語法都不錯；提供后者是為了與[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)保持一致）。 **警告：**該指令是對[％HTML.ForbiddenElements的](http://htmlpurifier.org/live/configdoc/plain.html#HTML.ForbiddenElements)補充，因此，請查看該指令以獲取有關在使用此指令之前應該三思而后行的討論。 ## **ForbiddenElements** 也許這是HTML Purifier中最需要的功能。請不要濫用它！這是[％HTML.AllowedElements](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedElements)的邏輯逆，它將覆蓋該指令或任何其他指令。 如果可能的話，建議在此偽指令上使用[％HTML.Allowed](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Allowed)，因為有時很難判斷您是否禁止了所有您要禁止的行為。如果您禁止`img`在您的網站上顯示圖片，那么當人們開始使用`background-image`CSS屬性時，您將大吃一驚。 ## **MaxImgLength** 此偽指令控制`img`標記的width和height屬性中的最大像素數。這樣做是為了防止圖像崩潰攻擊，禁用null后果自負。該指令類似于[％CSS.MaxImgLength](http://htmlpurifier.org/live/configdoc/plain.html#CSS.MaxImgLength)，并且兩者應同時進行編輯，盡管輸入格式（HTML max是整數）存在細微的差異。 ## **Nofollow** 如果啟用，則將nofollow rel屬性添加到所有傳出鏈接。 ## **Parent** HTML片段傳遞給庫的元素的字符串名稱將被插入。一個有趣的變化是使用span作為父元素，這意味著僅允許使用內聯標簽。 ## **Proprietary** HTML片段傳遞給庫的元素的字符串名稱將被插入。一個有趣的變化是使用span作為父元素，這意味著僅允許使用內聯標簽。 ## **SafeEmbed** 是否允許在文檔中嵌入標簽，并添加了許多額外的安全功能以防止腳本執行。這類似于MySpace這樣的網站嵌入標簽的方式。嵌入是專有元素，將導致您的網站停止驗證；您應該先看看是否可以將[％Output.FlashCompat](http://htmlpurifier.org/live/configdoc/plain.html#Output.FlashCompat)與[％HTML.SafeObject](http://htmlpurifier.org/live/configdoc/plain.html#HTML.SafeObject)[結合](http://htmlpurifier.org/live/configdoc/plain.html#Output.FlashCompat)使用。 ## **SafeIframe** 是否允許在不受信任的文檔中使用iframe代碼。該指令必須隨附允許的iframe的白名單，例如[％URI.SafeIframeRegexp](http://htmlpurifier.org/live/configdoc/plain.html#URI.SafeIframeRegexp)，否則將致命錯誤。該指令對嚴格的文檔類型無效，因為iframe無效。 ## **SafeObject** 是否允許文檔中的對象標簽，并添加了許多額外的安全功能以防止腳本執行。這類似于MySpace等網站對對象標簽所做的工作。您還應該啟用[％Output.FlashCompat](http://htmlpurifier.org/live/configdoc/plain.html#Output.FlashCompat)，以便為對象標簽生成Internet Explorer兼容性代碼。 ## **SafeScripting** 是否允許腳本標記用于文檔中的外部腳本。不允許使用內聯腳本，并且腳本必須與明確的白名單匹配。 ## **TargetBlank** 如果啟用，`target=blank`則將屬性添加到所有傳出鏈接。（這包括從頁面的HTTPS版本到HTTP版本的鏈接。） ## **TargetNoopener** 如果啟用，則將noopener rel屬性添加到具有與其關聯的目標屬性的鏈接。這樣可以防止惡意目標覆蓋原始窗口。 ## **TargetNoreferrer** 如果啟用，則不會將noreferrer rel屬性添加到具有與其關聯的目標屬性的鏈接。這樣可以防止惡意目標覆蓋原始窗口。 ## **TidyAdd** 根據您的級別添加到默認Tidy修復程序集的修復程序。 ## **TidyLevel** Tidy模塊應強制執行的總體清潔度。有四個允許的值： * none 無需額外整理 * light 僅修復由于缺乏文檔類型支持而將被丟棄的元素 * medium 實施最佳做法 * heavy 將所有不推薦使用的元素和屬性轉換為符合標準的等效項 ## **TidyRemove** 根據您的級別從默認的Tidy修復程序集中刪除的修復程序。 ## **Trusted** 指示用戶輸入是否受信任。如果輸入是可信的，則將使用更多的允許標簽和屬性集。另請參見[％CSS.Trusted](http://htmlpurifier.org/live/configdoc/plain.html#CSS.Trusted)。