问题标签 [htmlpurifier]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
383 浏览

php - 请求 HTML Purifier 4.2.0 的 IRC URI 方案

有人可以帮助我为 HTML Purifier 4.2.0 建立使用 IRC URI 方案吗?我似乎无法弄清楚如何配置或修改哪些文件,以便纯化的 html 允许 irc:// 链接。

我可以简单地在以下代码块中修改配置吗?

更新:

我编辑了 library/standalone/HTMLPurifier/ConfigSchema/schema.ser 将“4:nntp”的两个实例更改为“3:irc”并发现错误:

警告:目录 htmlpurifier-4.2.0/library/standalone/HTMLPurifier/DefinitionCache/Serializer/URI 不可写,请更改为 777

我相信这将有助于在进行此更改后建立对 IRC URI 方案的支持。我稍后再报告。

嗯,改成可写后,没有出现错误,但是没有结果=\

0 投票
3 回答
1060 浏览

php - Html 净化的最佳设置

我想在文本框上使用基于 PHP 的工具 HTML Purifier来防止 xss,但我想允许以下内容:

  1. 基本标签,如<b>, <i>,<u>
  2. 链接
  3. 图片

我想阻止所有 CSS 和 JavaScript。我刚刚尝试了 HTML Purifier,但在这种情况下失败了。看看这个例子。我该如何处理?

此外,我希望表单的所有单词都#abcd@abcd自定义 html 替换(正如您所猜到的那样,它是一个链接)。这有可能还是我必须自己更换?

0 投票
1 回答
574 浏览

drupal-modules - 如何在 Drupal 的 HTML 净化器模块中添加“javascript”url 方案?

如何在 drupal 的 HTML 净化器模块中为 URI.AllowedSchemes 添加“javascript:xyz”url 格式?

我想这是我应该修改URI.AllowedSchemes的文件,或者我需要进行任何其他配置更改。这是供网站版主发布书签的,不会暴露给外界。

0 投票
1 回答
1542 浏览

php - HTMLPurifier iFrame / 正则表达式问题

我正在使用 HTMLPurifier 论坛上提供的代码来支持 iFrame 标签,因为 Google、YouTube 和其他人现在使用 iframe 而不是嵌入视频和地图。

这是代码:

它几乎可以工作,除了一个问题,结果如下:

如何让类成为 iframe 标签的一部分?

更新:抱歉,发布后看到了一个匹配的问题.. 初始搜索什么也没找到。这是 preFilter 函数中必须更改的内容:

0 投票
2 回答
602 浏览

htmlpurifier - Html 净化器 | CSS 整洁 | 浏览器特定的属性和黑客被修剪。我如何允许这些?

过滤输入时会删除这些类型的 css 属性。我不确定这是由于 CSSTidy 还是 HTML Purifier。我试图查看这两本手册,但没有找到任何线索。

0 投票
1 回答
395 浏览

zend-framework - 如何在 Zend 中调用自定义过滤器?

我想在我的网站上使用 htmlpurifier,但不知道如何在视图中加载我的过滤器。我已经按照此处第一个答案中描述的方式添加了过滤器。

我希望能够从我的视图中调用它,例如$this->filter($content)任何建议我如何做到这一点?

0 投票
1 回答
362 浏览

php - 我应该启用哪些 HTMLPurifier 设置以允许 HTML 模板?

我正在构建一个允许用户通过 HTML 模板构建自己的网站的站点。我应该使用什么样的 HTMLPurifier 设置来阻止 XSS 攻击?

在我的模板系统中,我只允许他们编辑模板的特定部分(即不是整个 HTML 文件,只是其中的一部分)。这不允许他们编辑标签外部,这没关系,但我不希望他们在所述特定部分中使用 javascript。

任何已经有这种 HTMLPurifier 设置的人?

0 投票
1 回答
162 浏览

php - Is it safe to turn urls into links?

I want to turn urls in the user comments, into links.

I don't have time to test bloated anti-xss libraries like HTML Purify, so I wouldn't be allowing any html tags.

I just want to make everything go through htmlentities() and nl2br(), and then use preg_replace() to find urls and turn them into links ('a' html tags).

Is it unsafe to grab the urls I find and put them inside href='' ?

If not, what can I do about it?

0 投票
1 回答
363 浏览

php - 使 HTMLPurifier 在="attributes" 周围省略双引号

这不是非常重要,但我想知道您是否可以让 HTMLPurifier 省略参数周围的双引号。当它过滤 HTML 时,它通常将其重新格式化为 XHTML 语法。

但我宁愿<div class=alphanum>而不是class="xyz"在输出中 - 只要有可能。

配置设置http://htmlpurifier.org/live/configdoc/plain.html没有提供明显的选项,我也没有费心去查看代码(500K 确实把你吓跑了)。HTMLPurifier 在某些时候确实使用了 DOMDocument。我不确定这是否只是用于预解析,还是用于输出序列化(然后我可以自己回答这个问题:否)。

我浏览了标签,一无所获。并且启用实验(?)HTMLPurifier/Lexer/PH5P.php解析器不会改变输出行为。

那么是否有一个不常见的设置或调整?

0 投票
3 回答
2674 浏览

php - HTMLPurifier vs Kses

两者的优点/缺点是什么?

您将使用其中的哪一个来过滤用户在网站上发布的评论?