在我的电子邮件程序中,我在发送电子邮件之前使用 Tidy 来清理 HTML。一个问题开始持续存在,如果我发送一封从网络上的 url 获取 html 的邮件,文档中可能存在一些 javascript。
我想通过删除所有嵌入的、引用的和任何形式的 javascript 来进一步清理这个 html 文档,以便邮件只存在于 html 中。
我想使用 phppreg_replace()
从邮件中删除所有 javascript,我需要一些关于最佳正则表达式的帮助,因为这不是我必须承认的强项。
在我的电子邮件程序中,我在发送电子邮件之前使用 Tidy 来清理 HTML。一个问题开始持续存在,如果我发送一封从网络上的 url 获取 html 的邮件,文档中可能存在一些 javascript。
我想通过删除所有嵌入的、引用的和任何形式的 javascript 来进一步清理这个 html 文档,以便邮件只存在于 html 中。
我想使用 phppreg_replace()
从邮件中删除所有 javascript,我需要一些关于最佳正则表达式的帮助,因为这不是我必须承认的强项。
echo preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', "", $var);
如图所示。
您可以使用strip_tags
, 传入您希望允许的标签(白名单)作为第二个参数,但这不会删除内联 JS - 它可能存在于 onclick 属性等中。
echo strip_tags($html, '<p><a><small>');
这不能保证(如下所示),但我尝试制作我的轻量级解决方案,因为 html 净化器(http://htmlpurifier.org)对于我的小目标来说是一些巨大的。我的目标是防止 XSS,仅此而已,因此 XSS 尝试的结果对于这段代码来说将是很多脏东西,但我认为这将是安全的:
<?
//href="javascript:
//style="....expression
//style="....behavior
//<script
//on*="
$str = '
asd
<a STyLE="asd; expression" hRef=" javascript:" onx="asd">asd</a>
asd
<code><a href="javascript:">asd</a></code>
<scr<script></script>ipt ... >asd</script>
<a style="hey:good boy;" href="javascript:">asd</a>';
function stripteaser($str, $StripHTMLTags = true, $AllowableTags = NULL) {
$str = explode('<code>', $str);
$codes = array();
if (count($str) > 1) {
foreach ($str as $idx => $val) {
$val = explode('</code>', $val);
if (count($val) > 1) {
$uid = md5(uniqid(mt_rand(), true));
$codes[$uid] = htmlentities(array_shift($val), ENT_QUOTES, 'UTF-8');
$str[$idx] = "##$uid##" . implode('', $val);
}
}
}
$str = implode('', $str);
while (stripos($str, '<script') !== false) {
$str = str_ireplace('<script', '<script', $str);
}
$rptjob = function(&$str, $regexp) {
while (preg_match($regexp, $str, $matches)) {
$str = str_ireplace($matches[0], htmlentities($matches[0], ENT_QUOTES, 'UTF-8'), $str);
}
};
$rptjob($str, '/href[\s\n\t]*=[\s\n\t]*[\"\'][\s\n\t]*(javascript:|data:)/i'); //href = "javascript:
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\"][^\"]*expression/i'); //style = "...expression
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\'][^\']*expression/i'); //style = '...expression
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\"][^\"]*behavior/i'); //style = "...behavior
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\'][^\']*behavior/i'); //style = '...behavior
$rptjob($str, '/on\w+[\s\n\t]*=[\s\n\t]*[\"\']/i'); //onasd = "
if ($StripHTMLTags)
$str = strip_tags($str, $AllowableTags);
foreach ($codes as $idx => $code) {
$str = str_replace("##$idx##", $code, $str);
}
return $str;
}
echo stripteaser($str);
exit;
?>
:D 家里这个月亮的脏代码......但是这不是一份好工作(很多时候需要一些 CPU 时间),但对于我的小目标来说,它比另一个巨大的组件(如 html 净化器)要好。
结果将是:
asd
<a STyLE="asd; expression" hRef=" javascript:" onx="asd">asd</a>
asd
<a href="javascript:">asd</a>
<scri<script></script>pt ... >asd</script>
<a style="hey:good boy;" href="javascript:">asd</a>
我没有 css 表达式的经验,但我知道在 IE 中使用 JS VML 来处理弯角的行为,所以可能很危险。最后没有也没有保证。
我希望它对一些朋友有用;)
我用过这个:
//remove js,css,head.....
static function cleanElements($html){
$search = array (
"'<script[^>]*?>.*?</script>'si", //remove js
"'<style[^>]*?>.*?</style>'si", //remove css
"'<head[^>]*?>.*?</head>'si", //remove head
"'<link[^>]*?>.*?</link>'si", //remove link
"'<object[^>]*?>.*?</object>'si"
);
$replace = array (
"",
"",
"",
"",
""
);
return preg_replace ($search, $replace, $html);
}
http://allenprogram.blogspot.pt/2012/04/php-remove-js-css-head-obj-elements.html
删除所有标签、脚本和样式,除了 body 和 html,所以在使用它之后,我使用 strip_tags。