## **AllowedSchemes** 定義允許URI擁有的方案的白名單。這樣可以防止XSS攻擊使用諸如javascript或mocha之類的偽方案。還支持`data`和`file`URI方案，但默認情況下未啟用它們。 ## **Base** 基本URI是此純HTML將插入其中的文檔的URI。如果HTML Purifier需要根據相對URI計算絕對URI（例如，當[％URI.MakeAbsolute](http://htmlpurifier.org/live/configdoc/plain.html#URI.MakeAbsolute)打開時），則此信息很重要。您可以為此值使用非絕對URI，但行為可能會有所不同（[％URI.MakeAbsolute](http://htmlpurifier.org/live/configdoc/plain.html#URI.MakeAbsolute)可以很好地處理絕對路徑和相對路徑，但不能保證向前兼容。）**警告：**如果設置，則此URI上的方案將覆蓋[％URI.DefaultScheme](http://htmlpurifier.org/live/configdoc/plain.html#URI.DefaultScheme)指定的[方案](http://htmlpurifier.org/live/configdoc/plain.html#URI.DefaultScheme)。 ## **DefaultScheme** 定義將通過哪種方案提供服務，以便在不存在任何方案信息時選擇適當的對象驗證器。 從HTML Purifier 4.9.0開始，默認方案可以為null，在這種情況下，我們將拒絕所有沒有顯式方案的URI。 ## **DefinitionID** 自定義URI定義的唯一標識符。如果要添加自定義URIFilter，則必須指定此值。 ## **DefinitionRev** 您的自定義定義的修訂標識符。有關詳細信息，請參見[％HTML.DefinitionRev](http://htmlpurifier.org/live/configdoc/plain.html#HTML.DefinitionRev)。 ## **Disable** 禁用所有形式的所有URI。不知道為什么要這么做（畢竟，互聯網是建立在超鏈接概念上的）。 ## **DisableExternal** 禁用到外部網站的鏈接。這是一種非常有效的反垃圾郵件和反網頁欺詐手段，但代價不菲：不允許您域外的任何鏈接或圖像。未鏈接的URI仍將保留。如果您希望能夠鏈接到子域或使用絕對URI，[請](http://htmlpurifier.org/live/configdoc/plain.html#URI.Host)為您的網站指定[％URI.Host](http://htmlpurifier.org/live/configdoc/plain.html#URI.Host)。 ## **DisableExternalResources** 禁止嵌入外部資源，從而防止用戶嵌入其他主機的圖像之類的東西。這樣可以防止訪問跟蹤（對電子郵件查看者有用），帶寬泄漏，跨站點請求偽造，goatse.cx發布和其他不良行為，但也導致最終用戶功能喪失（它們不能直接發布圖片，從Flickr發布）。如果您沒有強大的用戶內容審核小組，請使用它。 ## **DisableResources** 禁用嵌入資源，本質上意味著沒有圖片。您仍然可以鏈接到它們。有關為什么這可能是一個好主意，請參見[％URI.DisableExternalResources](http://htmlpurifier.org/live/configdoc/plain.html#URI.DisableExternalResources)。 *注意：*盡管此指令自1.3.0開始提供，但實際上直到4.2.0才開始執行任何操作。 ## **Host** 定義服務器的域名，以便我們可以確定絕對URI是否來自您的網站。并非絕對必要，因為用戶應使用相對URI來引用您網站上的資源。但是，它將允許您使用絕對URI鏈接到您在此處發布的域的子域：即example.com將允許sub.example.com。但是，更高級別的域仍將被排除：如果將[％URI.Host](http://htmlpurifier.org/live/configdoc/plain.html#URI.Host)設置為sub.example.com，則example.com將被阻止。**注意：**該指令將覆蓋[％URI.Base，](http://htmlpurifier.org/live/configdoc/plain.html#URI.Base)因為給定頁面可能位于子域中，但是您希望HTML Purifier更加寬松，并允許某些父域。 ## **HostBlacklist** URI主機中禁止的字符串列表。使用它殺死垃圾郵件等域名。請注意，它將捕獲該域中的所有內容，因此moo.com將捕獲moo.com.example.com。 ## **MakeAbsolute** 將所有URI轉換為絕對形式。當要過濾的HTML假定使用特定的基本路徑，但實際上將在不同的上下文中查看（并且無法設置備用基本URI）時，這很有用。必須設置[％URI.Base](http://htmlpurifier.org/live/configdoc/plain.html#URI.Base)，此指令才能起作用。 ## **Munge** 將所有可瀏覽的（通常是http，https和ftp）絕對URI合并為另一個URI，通常是URI重定向服務。該指令接受URI，其格式`%s`應為插入url編碼的原始URI的位置（示例：）`http://www.google.com/url?q=%s`。 用于此指令： * 防止PageRank泄漏，同時對用戶相當透明（您可能還想添加一些客戶端JavaScript來覆蓋狀態欄中的文本）。**注意**：許多安全專家認為，這種保護形式不會阻止垃圾郵件機器人。 * 將用戶重定向到啟動頁面，告訴他們他們正在離開您的網站。盡管這是一種較差的可用性實踐，但通常是在公司環境中強制執行的。 在HTML Purifier 3.1.1之前，此指令還啟用了可瀏覽的外部資源的整理，如果您的重定向腳本是啟動頁面或使用的`meta`標記，這可能會破壞事情。要恢復以前的行為，請使用[％URI.MungeResources](http://htmlpurifier.org/live/configdoc/plain.html#URI.MungeResources)。 您可能還希望將[％URI.MungeSecretKey](http://htmlpurifier.org/live/configdoc/plain.html#URI.MungeSecretKey)與此指令一起使用，以強制執行重定向程序腳本允許的URI。開放的重定向程序腳本可能會帶來安全風險，并且會對您的域名信譽造成負面影響。 從HTML Purifier 3.1.1開始，還有以下替換： | 鍵 | 描述 | 例`<a href="">` | | --- | --- | --- | | ％r | 1-URI嵌入資源 （空白）-URI僅僅是一個鏈接 | | | ％n | 此URI來自的標簽名稱 | 一種 | | ％m | 此URI來自的屬性的名稱 | href | | ％p | 此URI來源的CSS屬性的名稱；如果不相關，則為空白 | | 誠然，這些字母有些隨意。唯一的規定是他們不能成為直通f。r是用于資源（我本來希望使用e，但是您會得到盡可能多的東西），n是用于名稱，選擇m是因為它是在n之后（并且我不能使用a），p是用于屬性。 ## **MungeResources** 如果為true，則任何URI munging指令（例如[％URI.Munge）](http://htmlpurifier.org/live/configdoc/plain.html#URI.Munge)也將適用于嵌入式資源，例如`<img src="">`。如果您的重定向程序腳本不使用`Location`HTTP標頭，請小心啟用此指令。您所有的圖像和其他嵌入式資源都將損壞。 **警告：**強烈建議您與[％URI.MungeSecretKey](http://htmlpurifier.org/live/configdoc/plain.html#URI.MungeSecretKey)結合使用，以減輕打開重定向器的安全風險。 ## **MungeSecretKey** 該指令可與[％URI.Munge](http://htmlpurifier.org/live/configdoc/plain.html#URI.Munge)一起生成安全的校驗和。應該將其設置為不與其他任何人共享的安全密鑰。可以使用％t將校驗和放在URI中。使用此校驗和可通過允許重定向器檢查URI是否已通過以下行通過HTML Purifier來提供額外的保護級別： ~~~ $ checksum === hash_hmac（“ sha256”，$ url，$ secret_key） ~~~ 如果輸出為TRUE，則重定向器腳本應接受URI。 請注意，攻擊者仍然有可能通過濫用您網站的預覽功能等來獲取大量安全哈希，但是此服務提供了額外的保護級別，應與網站黑名單結合使用。 請記住，如果未打開[％URI.Munge，這](http://htmlpurifier.org/live/configdoc/plain.html#URI.Munge)將無效。 ## **OverrideAllowedSchemes** 如果將其設置為true（默認情況下為true），則可以通過簡單地將HTMLPurifier\_URIScheme注冊到注冊表來覆蓋[％URI.AllowedSchemes](http://htmlpurifier.org/live/configdoc/plain.html#URI.AllowedSchemes)。如果為false，則還必須更新該指令以添加更多方案。 ## **SafeIframeRegexp** 將與iframe URI匹配的PCRE正則表達式。這是一種相對不靈活的方案，但對于iframe最常見的用例：嵌入式視頻，效果很好。僅當啟用[％HTML.SafeIframe時，](http://htmlpurifier.org/live/configdoc/plain.html#HTML.SafeIframe)此指令才有效。以下是一些示例值： * `%^http://www.youtube.com/embed/%`-允許YouTube視頻 * `%^http://player.vimeo.com/video/%`-允許Vimeo視頻 * `%^http://(www.youtube.com/embed/|player.vimeo.com/video/)%`-同時允許 請注意，此指令不能為您提供足夠的粒度來禁用所有`autoplay`視頻。如果需要此功能，請在HTML Purifier論壇上進行傳遞。