htmlpurifier-富文本编辑器过滤XSS

发布时间：2023-09-06 01:51责任编辑：傅花花关键词：暂无标签

本帖语言环境:php；开发框架：TP3.2;

1、htmlpurifier-4.6.0下载地址：https://files.cnblogs.com/files/samgo/htmlpurifier-4.6.0.zip

将下载好的压缩包解压，修改名称为htmlpurifier，放在如下目录：

2、定义公共函数clearXSS()，路径：Application/Common/Common/function.php（注意function.php不能写成functions.php）

/* 过滤xss函数 */function clearXSS($string){ ???require_once ‘./htmlpurifier/HTMLPurifier.auto.php‘; ???// 生成配置对象 ???$_clean_xss_config = HTMLPurifier_Config::createDefault(); ???// 以下就是配置： ???$_clean_xss_config->set(‘Core.Encoding‘, ‘UTF-8‘); ???// 设置允许使用的HTML标签 ???$_clean_xss_config->set(‘HTML.Allowed‘,‘div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]‘); ???// 设置允许出现的CSS样式属性 ???$_clean_xss_config->set(‘CSS.AllowedProperties‘, ‘font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align‘); ???// 设置a标签上是否允许使用target="_blank" ???$_clean_xss_config->set(‘HTML.TargetBlank‘, TRUE); ???// 使用配置生成过滤用的对象 ???$_clean_xss_obj = new HTMLPurifier($_clean_xss_config); ???// 过滤字符串 ???return $_clean_xss_obj->purify($string);}

3、POST提交时，除富文本编辑器（如商品描述）外的post数据（如商品名称、价格等）用TP自带的大I函数过滤，富文本内容用clearXSS()函数过滤;

注意：富文本与非富文本内容最好分开过滤，若是统一使用clearXSS()过滤，非富文本内容提交时可以提交clearXSS()允许使用的html标签，影响页面显示效果。

htmlpurifier-富文本编辑器过滤XSS

原文地址：https://www.cnblogs.com/samgo/p/8955314.html

htmlpurifier-富文本编辑器过滤XSS

知识推荐