Php 修改htmlpurifier允许此标记的标记
我的html净化器设置现在只允许这些标签Php 修改htmlpurifier允许此标记的标记,php,xss,htmlpurifier,Php,Xss,Htmlpurifier,我的html净化器设置现在只允许这些标签 $configuration->set('HTML.Allowed', 'p,ul,ol,li'); 我想允许列表缩进,我的编辑器使用这个html <ul style="margin-left: 40px;"> 我应该如何更改HTMLPurifier允许的标记?我想添加样式,但我认为最好确切地指定允许的样式,在本例中为左边距。更改HTML的正确方法是什么?这种情况下允许吗?至少,您希望允许净化器支持的标签的属性,如下所示: $c
$configuration->set('HTML.Allowed', 'p,ul,ol,li');
<ul style="margin-left: 40px;">
我应该如何更改HTMLPurifier允许的标记?我想添加
样式左边距$configuration->set('HTML.Allowed', 'p,ul[style],ol,li');
不过,我不确定您是否也可以允许/限制属性的内容。我建议您根本不允许属性。允许style属性会导致IE7(可能还有其他版本,我目前不确定)中出现XSS漏洞,但关键是,这太危险了。您应该自己解析HTML,并在代码中用常量字符串替换用户的字符串。允许HTML是一种非常危险的做法。为了获得更好的安全性,您可能希望尝试markdown之类的方法,或者创建自己的非常简单的标记类型语言(如BBcode),供用户使用 就像SamT所说的IE7中的XSS漏洞一样,要小心允许访问style属性,因为genius Microsoft允许通过“expression()”(也称为动态属性)在CSS中使用javascript。 关于在IE8中删除它,微软公开承认它让用户暴露于其他漏洞: 例如:
<a href="" style="width: expression(alert('XSS'));">blah</a>
如果可能,请避免允许访问“样式”属性。你永远不知道未来的浏览器什么时候会有天才的想法加入微软犯下的同样错误。允许样式属性,然后使用修改允许的CSS属性 $configuration->set('HTML.Allowed','p,ul[style],ol,li'); $configuration->set('CSS.AllowedProperties','marginleft');
另外,我很惊讶有这么多人不理解HTML净化器是如何工作的。Htmlpurifier在样式属性中阻止XSS。@弗兰克·法默,我认为他的观点是正确的。另请参阅“黑曜石注释。我还不清楚HTMLPurifier是否会处理样式内部的内容,因此他们可能有一个观点。我希望有人能澄清他们是否知道这方面的任何测试结果。@samold:请参阅Edward对黑曜石的回复。Edward是HTML净化器的作者。“HTML净化器分解HTML的所有组件,包括所有CSS“但只做
ul[style]ul[style]ul[style]