问题标签 [htmlpurifier]

每个人！自然我还在和 HTML Purifier 斗争……</p>

所以，我的 /config/purifier.php 看起来像：

而且，HTML Purifier 重载了 Security::clean_xss() 方法以使用它自己的过滤器。

我为数据清理创建了两个辅助函数：clean_whitelist()，它去除了配置文件中我的 HTML.Allowed 设置不允许的任何内容。和 clean_all()，它去除所有标签并忽略作为忽略传入的字段

clean_whitelist() 按预期工作，但是 clean_all 仍然允许标记。不完全确定为什么，当我Kohana::config('purifier')调用var_dump 新负载时$config->set，它显示我的 HTML.Allowed => ''...</p>

关于为什么它继续使用白名单而不是使用我在运行时构建的配置文件的任何想法？

一如既往地感谢任何做出贡献的人！

我想知道如何阻止 html 净化器将我的&标志变成&和变成&？

我的一个功能包括以下错误。

如果我对路径进行编码，我可以纠正这个问题

但是我想在我的网站上的许多不同级别的文件夹中显示包含文件，而不必每次都重新编码我的函数包含中的路径，这违背了我的包含的目的。有没有一种方法可以让我完成这项工作而不必每次都重新编码路径？有没有办法包含完整路径？

我使用这个配置：

但是所有像这样的嵌入标签都被剥离了：

有没有办法让 HTMLPurifier 不去除嵌入标签？

我想在我的 HTML Purifier 过滤器中允许图像。不幸的是，它们仍在被过滤。这段代码有什么问题？

谢谢你的帮助。

我正在尝试对来自所见即所得（CK 编辑器）的用户输入运行 HTMLPurifier，并且图像正在中断。

未过滤的输入：

使用默认设置运行净化器后：

我尝试更改配置设置；但我的 src 从未保存过。有什么想法吗？

这是我想在 HTMLPurifier 中允许的一种特殊的标签组合，但似乎无法使该组合发挥作用。

我可以让脚本标签工作，但随后嵌入标签被删除（我使用 HTML.Trusted = true 启用脚本标签）。当我重新嵌入标签时，脚本标签被删除（我删除了 HTML.Trusted）。以下是我的配置：

我什至尝试添加以下内容，这让事情变得更糟：

此外，无论如何，我似乎都无法让 iframe 工作。我尝试添加：

任何关于让整个组合工作的帮助，甚至是带有对象/参数和嵌入的脚本标签都将不胜感激！！！

哦，是的，这显然不适合所有用户，只是“特殊”用户。

谢谢！

PS - 请不要将我链接到http://htmlpurifier.org/docs/enduser-customize.html

更新

我在这里找到了在线程底部添加 iframe 的解决方案：http: //htmlpurifier.org/phorum/read.php? 3,4646

现在的配置是：

更新到更新

如果您对我在 HTMLPurifier 论坛中的评论有疑问，可能是因为我的意思是让方法看起来像这样：

更新 2：http ://htmlpurifier.org/phorum/read.php?3,5088,5113作者已经发现了问题。

更新：问题似乎是 4.2.0 版独有的。我已经降级到 4.1.0 并且可以正常工作。谢谢你的帮助。通知包的作者。

我正在抓取一些页面，例如：

http://form.horseracing.betfair.com/horse-racing/010108/Catterick_Bridge-GB-Cat/1215

根据 W3C 验证，它是有效的 XHTML Strict。

然后我使用http://htmlpurifier.org/在加载到 DOMDocument 之前净化 HTML。但是它只返回一行内容。

输出：

代码：

顺便说一句，它适用于来自另一个站点的数据，正如您所说的那样，该域的所有页面都保留了标题。

相关链接

• 运行以下代码时，HTMLPurifier 会死掉（关于类似主题的未回答问题）

我阅读了有关用于 XSS 攻击的格式错误的标签的评论。我应该如何对这些进行消毒。如果我使用 HTMLPurifier 之类的库，它是否将其作为其工作的一部分？或者这是一个独立的事情？我很少听到人们谈论它。

$this->escape()我在 zend 视图中做了很多工作。这足以防止 XSS 吗？

Zend 框架之外有 HTMLPurifier。我想知道 zend$this->escape()与 HTMLPurifier 相比如何。