HTML Purifier 配置中的白名单表单
HTML Purifier 是一个用于过滤和清理 HTML 代码的开源工具。它可以帮助开发人员防止恶意代码注入和其他安全问题,确保用户输入的 HTML 代码符合规范并且安全可靠。
在 HTML Purifier 的配置中,白名单表单是一种配置选项,用于指定哪些 HTML 标签和属性可以被保留,而其他的标签和属性则会被过滤掉。通过配置白名单表单,开发人员可以灵活地控制 HTML Purifier 的过滤行为,以适应不同的需求和安全要求。
白名单表单的配置可以包括以下内容:
- 标签:可以指定哪些 HTML 标签可以被保留。例如,可以配置只允许保留
<p>、<a>、<img>等标签,其他标签都会被过滤掉。 - 属性:可以指定哪些 HTML 属性可以被保留。例如,可以配置只允许保留
<a>标签的href属性,其他属性都会被过滤掉。 - 值:可以指定某些属性的合法取值范围。例如,可以配置只允许
<img>标签的src属性的值为某个特定的域名,其他值都会被过滤掉。
通过合理配置白名单表单,开发人员可以确保用户输入的 HTML 代码在安全的范围内,并且符合预期的展示效果。
腾讯云相关产品中,可以使用腾讯云的内容安全服务(Content Security)来实现类似的功能。该服务提供了丰富的内容安全检测能力,包括 HTML 内容的过滤和清理。您可以通过腾讯云内容安全服务的 API 接口来调用相关功能,确保用户输入的 HTML 代码的安全性。
更多关于腾讯云内容安全服务的信息,您可以访问以下链接:
相关·内容
我使用HTML Purifier来清理CMS中的输入。我的许多客户喜欢在他们的网站上有PayPal捐赠按钮,但是HTML Purifier去掉了表单。我注意到HTML Purifier有一个HTMLPurifier_HTMLModule_Forms类,但我不知道它是否能满足我的需要。如果是,我如何启用它?
浏览 0提问于2010-07-07得票数 2
回答已采纳
我在客户端使用了著名的wmd-javascript编辑器PageDown的重新实现(它也在Stackoverflow上使用)。现在,我正在为我的服务器搜索HTML sanitizer (运行tomcat7),它应该只过滤PageDown编辑器可以创建的HTML子集。我的第一选择是OWASP项目,但是我没有找到PageDown的xml规则文件-- tinymce的规则文件太严格了,因为它没有包括例如"img"-tag
浏览 4提问于2011-09-23得票数 1
当然,我仍然在与HTML Purifier…作斗争<?>
而且,HTML Purifier重载了Security::clean_xss()方法以使用它自己的过滤器。我已经为数据清理创建了两个帮助器函数: clean_whitelist(),它在配置文件中剥离我的HTML.Allowed设置不允许的
浏览 0提问于2010-08-13得票数 0
3回答
我想删除所有事件属性(例如,从基于的所有事件中)。我尝试了一个名为HTMLPurifier的外部库,但它没有删除所有事件属性的选项你知道该采取什么方向或一个简单的
浏览 0提问于2013-06-24得票数 0
我需要3个不同的配置为不同的情况。有时我需要它来过滤掉所有的东西,而在其他形式中,我需要它来允许某些事情。但是,我注意到,任何新定义的配置都要对所有其他配置进行更改:($default_cfg = HTMLPurifier_Config::createDefault', true);
$purifier_minimal_html = new
浏览 5提问于2015-05-02得票数 0
我想允许有限的白名单的标签,用户可以使用在我的论坛。因此,我已经将HTML净化器配置如下:$config->set('HTML.Allowed', 'p,a[href|rel|target|title],img[src],span[style],strong,em,ul,ol,li');
$purifier =
浏览 4提问于2012-11-06得票数 5
回答已采纳
我使用Symfony 2.7,我想通过向它添加配置器来配置一些服务。我遵循上的说明,但我想将配置器添加到CompilerPass中的服务中。我编写了以下代码: ->setConfigurator([$container->getDefinition(
浏览 2提问于2015-11-17得票数 0
回答已采纳
我正在建立一个网站,允许用户通过HTML模板建立自己的网站。我应该使用什么样的HTMLPurifier设置来阻止XSS攻击?在我的模板系统中,我只允许他们编辑模板的特定部分(即不是整个HTML文件,只是其中的一部分)。这不允许他们编辑标签外部,这是可以的,但我不希望他们在上述特定部分中使用javascript。
浏览 0提问于2011-03-19得票数 0
默认情况下,HTMLPurifier允许很多我不想允许的标记。addAttribute('a', 'target', new HTMLPurifier_AttrDef_Enum(array('_blank','_self','_target','_top')));$purifier= new HTMLPurifier($config);
问题是我找不到一种方法来删除所有来自HTMLPurifier_Config::createDefa
浏览 1提问于2013-06-20得票数 2
回答已采纳
1回答
Is there an easy way to remove with php任何类型的事件HTML中的php字符串。例如,对于events submit、mouseOut、mouseOver、click、blur、focus等用于防止javascript注入的,对于以下情况:是否有一种简单的方法可以用php删除--任何类型的事件HTML --在php中。例如,对于events submit、mouseOut、mouseOver、cl
浏览 0提问于2013-01-22得票数 0
回答已采纳
如何使用HTML Purifier将特定的ID列入白名单?我知道如何将特定的ID列入黑名单: $config->set('Attr.IDBlacklist' array(
'list', 'of', 'attribute', 'values', 'that', 'are
浏览 0提问于2011-10-25得票数 0
回答已采纳
我正在使用HTMLPurifier来清理HTML string (这是关于安全性的)。$config->set('HTML.Allowed', 'p,b,a[href],i');
但这不是一个解决方案,
浏览 3提问于2012-07-03得票数 10
回答已采纳
我在允许某些HTML属性加入HTMLPurifier的白名单时遇到了问题。这是我的代码:$config->set('HTML.Allowed', 'u,p,b,i,span[style($config);
当我在这个:<div align="left">Left</div>上运行:$clean_str = $pu
浏览 1提问于2012-11-08得票数 1
回答已采纳
我希望将用户输入的$content呈现为HTML,但防止执行JavaScript (用于防止XSS攻击)ın刀片模板引擎。下面的代码同时呈现HTML和JavaScript。
{!!
浏览 3提问于2015-11-05得票数 2
由于某些原因,HTMLPurifier似乎要从iframe中删除allowfullscreen元素,我不确定为什么,我做了一些研究,但似乎找不到一个不是几年前的答案。下面是我如何启动我的净化器。我的正则表达式是错误的吗?我是不是添加了不该添加的内容,还是遗漏了什么?
浏览 7提问于2020-06-09得票数 0
回答已采纳
有没有人有从锚标签中剥离onclick,onfocus属性的函数?我基本上是想从php字符串中的锚标记中删除javascript的实例。
浏览 1提问于2011-03-13得票数 1
回答已采纳
有人能帮我建立使用IRC URI Scheme for HTML Purifier 4.2.0吗?我似乎不知道如何配置或者修改哪些文件才能让纯净的html支持irc://链接。我是否可以在下面的代码块中简单地修改配置?::createDefault();
$purifier_config->set("HTML.Doctype", "XHTML 1.0 Strict");
浏览 1提问于2011-02-06得票数 2
2回答
我的网站使用一个所见即所得编辑器,让用户更新他们的帐户,输入评论,并发送私人消息。
编辑器(CKEditor)非常适合只允许用户输入有效的输入,但我担心通过TamperData或其他方式进行注入。我需要将特定的标签列入白名单:<b><ul><ol><a><img><br>,这是防止XSS的安全方法吗?
浏览 1提问于2010-06-08得票数 2
回答已采纳
1回答
我正在使用Summernote WYSIWYG编辑器(如下所示),并发现它使用HTML标记来格式化文本。<textarea name="body" id="editor" value="{{old('body')}}" rows="10" required></textarea>
如何保护我的应用程序免受是否可以为易受攻击的输入筛选textarea,如:<script>alert("bo
浏览 0提问于2019-02-02得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
