10

HTMLPurifier用来清理 HTML 字符串(它是关于安全性的)。

调用 HTMLPurifier 时会删除某些属性(如width或)。height我不认为这是一个安全问题。

如何在不重新定义白名单的情况下添加此属性?

我搜索了 Stackoverflow 和 HTMLPurifier 文档,但唯一的解决方案似乎是:

$config->set('HTML.Allowed', 'p,b,a[href],i');

但这不是解决方案,因为我不想重新定义白名单(我信任默认的 HTMLPurifier 配置,我只想添加一个例外)。

4

3 回答 3

5

我发现了同样的问题,唯一的解决方案是将白名单样式粘贴到 HTML 净化器添加属性设置中。

白名单设置为:

a.class,
a.href,
a.id,
a.name,
a.rev,
a.style,
a.title,
a.target,
a.rel,
abbr.title,
acronym.title,
blockquote.cite,
div.align,
div.style,
div.class,
div.id,
font.size,
font.color,
h1.style,
h2.style,
h3.style,
h4.style,
h5.style,
h6.style,
img.src,
img.alt,
img.title,
img.class,
img.align,
img.style,
img.height,
img.width,
li.style,
ol.style,
p.style,
span.style,
span.class,
span.id,
table.class,
table.id,
table.border,
table.cellpadding,
table.cellspacing,
table.style,
table.width,
td.abbr,
td.align,
td.class,
td.id,
td.colspan,
td.rowspan,
td.style,
td.valign,
tr.align,
tr.class,
tr.id,
tr.style,
tr.valign,
th.abbr,
th.align,
th.class,
th.id,
th.colspan,
th.rowspan,
th.style,
th.valign,
ul.style
于 2013-05-28T14:49:20.883 回答
3

这段代码:

<?php

require('purifier/library/HTMLPurifier.auto.php');

$html = "<img width='200' height='200' src='test.jpg' alt='bla>";
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
echo $purifier->purify($html) . "\n";

$html = "<table width='100'><tr><td>test</td></tr></table>";
echo $purifier->purify($html) . "\n";

?>

产生这个输出:

<img width="200" height="200" src="test.jpg" alt="bla" />
<table width="100"><tr><td>test</td></tr></table>

使用 php 5.3.10 和 HTMLPurifier 4.4.0 版。所以这些属性默认不会被剥离(我使用的是 HTMLPurifier 的全新安装)

您在哪些 HTML 元素上使用宽度/高度属性?

另请注意,当使用 xhtml strict 时,无效属性将被删除。据我所知,img 和 table 元素的宽度和高度是允许的,但应该是小写的。除了图像元素上的“width='100%'”(在 rap-2-h 他的评论之后添加以保持完整性)

一般来说:使用addAttribute而不是白名单来添加允许的属性。

于 2012-07-10T11:17:09.700 回答
0

关闭魔术引号。

于 2012-07-03T13:24:04.493 回答