问题标签 [htmlpurifier]

我的想法是在服务器端以某种方式缩小 HTML 代码，以便客户端接收更少的字节。

“缩小”是什么意思？

不拉拉链。更像是，例如，jQuery 创建者使用.min .js版本。换句话说，我需要删除不必要的空格和换行符，但我不能删除太多的 HTML 表示更改（例如删除段落中实际单词之间的空格）。

有什么工具可以做到吗？我知道有HtmlPurifier。它能够做到吗？还有其他选择吗？

PS请不要提供正则表达式。我知道只有 Chuck Norris 可以用它们解析 HTML。=]

我正在对 HTMLPurifier 进行一些测试，以确保一切都按预期工作。我正在使用来自http://ha.ckers.org/xss.html的示例。我认为我编码的所有内容都是“正确的”，但我能够通过其中一个 xxs 示例。有人可以帮助我吗？

这是页面 common1.php，它声明了一个函数并处理数据：

这是我的调试脚本，它尝试（并成功 0_o）传递 xxs：

我们之前将 htmlpurifier 集成到了基于 LAMP 的产品中，但速度有点慢。最近，我们开启了 mod_security。这两个都是 OWASP 项目的一部分（最后我检查了 owasp 在内部使用了 htmlpurifer），所以我认为安全性是多余的。

你有什么建议？关闭 htmpurifier 是一个可行的选择吗？感谢您的任何回答。

任何使用 PHP 做过很多事情并从 TinyMCE 之类的东西接收富文本输入的人都（可能）使用了HTMLPurifier之类的东西来防止您有意允许用户提交的 HTML 中出现讨厌的东西。

例如，HTMLPurifier 将采用一串（可能格式错误的）HTML 并去除不允许的元素和属性，尝试修复损坏的 HTML，并在某些情况下将内容转换<i>为<em>.

Rails (3) 有什么等价物吗？在 Rails 中清理来自富文本编辑器的输入的普遍接受的方法是什么，以便您可以将未转义的 HTML 输出到网页上，并且知道像<style>和<script>标签之类的东西已被删除，并且不会破坏您的页面（或窃取你的饼干！）？

编辑 | 有人用过消毒吗？pro's & con's 还有其他选择吗？

我正在构建一个应用程序，它允许用户为他们自己的个人资料（有点像 MySpace、Friendster 或 Blogger）输入自定义 CSS。

问题是我很难找到一种通过 CSS 净化 XSS 攻击的方法。我尝试使用 HTMLPurifier，但它不起作用。一个例子：

HTMLPurifier 将允许这样做。

我需要为 HTMLPurifier 使用任何设置以使其无效吗？

谢谢！

更新
是表达式：通过 CSS 推送漏洞的唯一方法？如果是这样，正则表达式会比使用 HTMLPurifier 更有效吗？

我的 html 净化器设置现在只允许这些标签

我想允许缩进列表，我的编辑器使用这个 html

我应该如何更改 HTMLPurifier Allowed 标签？我想添加style，但我认为最好准确指定允许的样式，在这种情况下是margin-left. 在这种情况下，更改 HTML.Allowed 的正确方法是什么？

我需要允许我的用户输入居中文本而不让 htmlpurifier 将其删除的代码。

谢谢！

我正在使用 HTMLPurifier，即使你有：

它从链接中删除所有“目标”属性。

知道为什么要这样做吗？

我有一个垃圾邮件发送者，它使用我的 PHP 电子邮件联系表并在邮件消息中写下：

我想在消息中搜索 ha [url=and [/url]and [link=and [/link]and and http://and的任何内容.com并将其删除。

出于某种原因，html 净化器会清除 p 标签。当 p 在 span 标签内时会发生这种情况。例如：

输出：

我的 htmlpurifier 配置：