Php 从字符串中删除任何事件javascript_Php_Javascript_Html_Xss

Php 从字符串中删除任何事件javascript

php javascript html

Php 从字符串中删除任何事件javascript,php,javascript,html,xss,Php,Javascript,Html,Xss,是否有一种简单的方法可以用php删除php字符串中的任何类型的事件HTML。例如，对于事件submit、mouseOut、mouseOver、click、blur、focus等防止javascript注入，对于以下情况：有没有一种简单的方法可以用php删除php srtring中任何类型的事件HTML。例如，对于事件submit、mouseOut、mouseOver、click、blur、focus等防止javascript注入，对于以下情况： $text= 'mi secure html &

是否有一种简单的方法可以用php删除php字符串中的任何类型的事件HTML。例如，对于事件submit、mouseOut、mouseOver、click、blur、focus等防止javascript注入，对于以下情况：
有没有一种简单的方法可以用php删除php srtring中任何类型的事件HTML。例如，对于事件submit、mouseOut、mouseOver、click、blur、focus等防止javascript注入，对于以下情况：
$text= 'mi secure html <div id="javascript_injection" onfocus=function(){SomeJavaScriptCode}></div> <p> Im interested in showing the resulting html </p>'

echo $text = 'mi secure html <div id="javascript_injection" > example </div> <b> Im interested in showing the resulting html </b>

$text='mi secure html我对显示生成的html感兴趣'
echo$text='mi安全html示例我对显示生成的html感兴趣

我还想展示一下：
'mi secure html <div id="javascript_injection" > example </div> <b> Im interested in showing the resulting html </b>

'mi安全html示例我对显示生成的html感兴趣

PD：我无法转义所有文本或删除所有标记，因为如果我想在html中显示某些部分。想象一下，你想向另一个用户显示创建html的部分，并想避免注入javascript
解决此类问题的最佳方法是通过白名单而不是黑名单。其思想是定义允许的标记/属性，而不是试图过滤掉不好的东西
处理此问题的好库是。您可以对其进行自定义，使其允许保留您想要保留的内容
require_once '/path/to/HTMLPurifier.auto.php';

$dirty_html = '<a href="test.html" onclick="alert()">Test</a>'

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);

echo $clean_html

require_once'/path/to/HTMLPurifier.auto.php'；
$dirty_html=''
$config=HTMLPurifier_config:：createDefault（）；
$punizer=新的HTMLPurifier（$config）；
$clean\u html=$purizer->purify（$dirty\u html）；
echo$clean_html

输出：
<a href="test.html">Test</a>

解决此类问题的最佳方法是通过白名单而不是黑名单。其思想是定义允许的标记/属性，而不是试图过滤掉不好的东西
处理此问题的好库是。您可以对其进行自定义，使其允许保留您想要保留的内容
require_once '/path/to/HTMLPurifier.auto.php';

$dirty_html = '<a href="test.html" onclick="alert()">Test</a>'

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);

echo $clean_html

require_once'/path/to/HTMLPurifier.auto.php'；
$dirty_html=''
$config=HTMLPurifier_config:：createDefault（）；
$punizer=新的HTMLPurifier（$config）；
$clean\u html=$purizer->purify（$dirty\u html）；
echo$clean_html

输出：
<a href="test.html">Test</a>


这应该是什么？PHP？JavaScript？HTML？如果你的代码可以通过javascript“入侵”，那么你最好更改代码……对不起，你回答问题时我正在编辑，它只是重新发布，请注意粗体。如果你想允许img
元素，你应该检查src
（以及其他不明显的结构），因为它可能包含javascript。还有许多其他边缘情况。看见正如韦恩·惠蒂（Wayne Whitty）已经说过的，这篇文章从何而来？@MarcelKorpel一个基于DOMDocument的解决方案应该可以很好地工作，除非我遗漏了一些明显的东西。这应该是什么？PHP？JavaScript？HTML？如果你的代码可以通过javascript“入侵”，那么你最好更改代码……对不起，你回答问题时我正在编辑，它只是重新发布，请注意粗体。如果你想允许img
元素，你应该检查src
（以及其他不明显的结构），因为它可能包含javascript。还有许多其他边缘情况。看见正如Wayne Whitty已经说过的，这个文本来自哪里？@MarcelKorpel基于DOMDocument的解决方案应该可以很好地工作，除非我遗漏了一些明显的东西。看起来不错，但它不允许
？有一个演示页面要测试：（它过滤掉整个标记）我不会手动测试每个边缘情况，但它确实做得很好。下面是一个测试列表：看起来不错，但它不允许
？有一个演示页面要测试：（它过滤掉整个标记）我不打算手动测试每个边缘情况，但它确实做得很好。下面是一个测试列表：