Javascript 清除事件属性的HTML净化器_Javascript_Php_Html_Htmlpurifier

Javascript 清除事件属性的HTML净化器

javascript php html

Javascript 清除事件属性的HTML净化器,javascript,php,html,htmlpurifier,Javascript,Php,Html,Htmlpurifier,我正在努力解决一些存储的XSS漏洞，我正在使用HTMLPurifier。我在页面上有一个输入框，如果我键入“onclick=”alert（1）；“代码保存到数据库并在客户端执行。即使在通过Purizer运行输入和输出之后，这种情况也会发生。似乎HTMLpurifier在包含在html标记中时只会删除这些属性。我想知道Purizer是否有一些配置，只会删除事件属性或其他有关如何删除的建议。”清理这些内容。HTML净化器纯粹用于将用作页面上HTML的内容。它不适用于验证内容，例如，将放入HTML元素

我正在努力解决一些存储的XSS漏洞，我正在使用HTMLPurifier。我在页面上有一个输入框，如果我键入“onclick=”alert（1）；“代码保存到数据库并在客户端执行。即使在通过Purizer运行输入和输出之后，这种情况也会发生。似乎HTMLpurifier在包含在html标记中时只会删除这些属性。我想知道Purizer是否有一些配置，只会删除事件属性或其他有关如何删除的建议。”清理这些内容。

HTML净化器纯粹用于将用作页面上HTML的内容。它不适用于验证内容，例如，将放入HTML元素的属性中

您可以使用HTML净化器的一些内部API来验证这种情况下的内容。但是，以评论中引用的示例为例，您所需要的只是

htmlspecialchars

来做正确的事情。验证程序的正确选择取决于您将内容放入的属性。

如果可能，可以发布

HTML

，

js

？ThanksWOuldn

”“onclick=”alert（1）；“

当HTML标记之外是不可执行的文本时？使用演示页面会产生相同的结果，因此看起来它会留下文本：呈现的内容如下：