问题标签 [htmlpurifier]

我正在使用 HTML Purifier (http://htmlpurifier.org/)

我只想删除<script>标签。我不想删除内联格式或任何其他内容。

我怎样才能做到这一点？

还有一件事，还有其他方法可以从 HTML 中删除脚本标签

我正在使用 HtmlPurifer 来清理 html 输入。

这是我的 HtmlPurifer 配置：

奇迹般有效。

但...

我想知道是否可以配置 HtmlPurifer 以便它将剥离任何不具有特定值属性的元素。

例如，我可能想删除

但不是

有谁知道这是否可行，如果可以，该怎么做？

谢谢！

我无法找到HTML Purifier 4.3.0将变音符号转换为数字 HTML 代码的正确设置。这可以使用这个库吗？

所以，从încă到încă 。

(^ 这是我对 HTMLPurifier 的唯一设置)

它应该<span class="youtube-embed">nto6EvPFO0Q</span>将其放入 Youtube 嵌入视频中。但它不起作用。（什么都不会简单地发生）

但是像这样加载有效：

（这是安全问题吗？^）

我正在使用 Codeigniter 框架开发一个 PHP 应用程序，现在是进行安全审查的时候了。如果我想要获得最好的保护，我有很多使用HTMLPurifier库的建议。这是真的吗？我真的需要这个库还是有更好的选择？我很欣赏你对这个问题的想法

谢谢

在我的 CMS 应用程序中，管理用户可以通过由HTMLPurifier过滤的所见即所得编辑器添加 HTML 内容。我现在想添加留言板功能。我计划使用没有白名单的Zend StripTags 过滤器来删除所有 HTML，然后使用 Zend 的BBCode或Textile解析器提供丰富的标记。

这些是我的问题：

1. StripTags如果我没有白名单，XSS 可以通过吗？
2. 添加 BBCode 或 Textile 作为输出解析器是否会重新引入 XSS 的可能性？

我目前正在使用 CodeIgniter 框架，并希望通过使用 HTMLPurifier (http://htmlpurifier.org/) 来加强 XSS 保护。

我的理解是否正确，您想在发布后“清理”数据，以便在插入数据库之前对其进行净化？还是在视图中显示之前运行它？

如果是这样，我是否要在发生的每个帖子上运行 HTMLPurifier？由于该应用程序包含很多表单，我不想有选择性地选择要清理的内容和不清理的内容 - 假设我可以拦截所有帖子，这是要走的路吗？当然，无论如何我都会验证一些字段（如电子邮件地址、数字等）

HTMLPurifier 删除我的样式标签时遇到问题。这是我使用的（测试）配置：

当我过滤这个 HTML 时：

这就是我得到的：

我不明白为什么要留下边框属性（但它的值被剥离），以及为什么要删除背景颜色属性。如何配置以便允许这些样式标签通过过滤器？另外，我想允许我允许的样式属性的任何样式值。

如何使用 HTML Purifier 将特定 ID 列入白名单？我知道如何将特定 ID 列入黑名单：

));

但我只想添加一种类型的 ID，即“ilo####”（用 1 到任意多个数字代替 ####）。如何仅将这些特定 ID 列入白名单？

谢谢。

我在我的系统中使用 HTMLPurifier 并且由于某种原因它转换如下：

变成这样的东西：

知道我应该在配置中添加什么吗？- 我目前的设置是：