HTML Purifier:PHP防止xss跨站攻击

源代码下载:http://htmlpurifier.org
防止Html编辑器控件中的代码,例如FCKEditor,FreeTextBox,Rich TextBox,Cute Editor,TinyMCE等等
使用方法

require_once '/path/to/htmlpurifier/library/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);

HTMLPurifer的过滤器可以进行很多配置
例如配置允许的html标签

$config->set('HTML.Allowed', 'p,a');

如果只保留文本则

$config->set('HTML.Allowed', '');

保留超链接标签a及其href链接地址属性,并自动添加target属性值为’_blank’

$config->set('HTML.Allowed', 'a[href]');
$config->set('HTML.TargetBlank', true);

自动完成段落代码并清除掉无用的空标签

$config->set('HTML.Allowed', 'p');
$config->set('AutoFormat.AutoParagraph', true);
$config->set('AutoFormat.RemoveEmpty', true);

HTML Purifier有详细的文档说明 http://htmlpurifier.org/live/configdoc/plain.html

标签: 无

发表评论: