首页 > 编程开发 > HTML/html5

使用 HTMLPurifier 来解决 Laravel 5 中的 XSS 跨站脚本攻击安全问题

来自:互联网
时间:2018-08-20
阅读:

HTMLPurifier for Laravel 是对 HTMLPurifier 针对 Laravel 框架的一个封装.

使用 Composer 安装:

composer require mews/purifier

在 config/app.php 文件的 providers 数组添加以下

MewsPurifierPurifierServiceProvider::class,

配置 HTMLPurifier for Laravel 5#,命令行如下:

$ php artisan vendor:publish --provider="MewsPurifierPurifierServiceProvider"

打开 config/purifier.php , 默认的配置有以下:

return [
    'encoding'      => 'UTF-8',
    'finalize'      => true,
    'cachePath'     => storage_path('app/purifier'),
    'cacheFileMode' => 0755,
    'settings'      => [
        'default' => [
            'HTML.Doctype'             => 'HTML 4.01 Transitional',
            'HTML.Allowed'             => 'div,b,strong,i,em,u,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
            'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
            'AutoFormat.AutoParagraph' => true,
            'AutoFormat.RemoveEmpty'   => true,
        ],
        'test'    => [
            'Attr.EnableID' => 'true',
        ],
        "youtube" => [
            "HTML.SafeIframe"      => 'true',
            "URI.SafeIframeRegexp" => "%^(http://|https://|//)(www.youtube.com/embed/|player.vimeo.com/video/)%",
        ],
        'custom_definition' => [
            'id'  => 'html5-definitions',
            'rev' => 1,
            'debug' => false,
            'elements' => [
                // http://developers.whatwg.org/sections.html
                ['section', 'Block', 'Flow', 'Common'],
                ['nav',     'Block', 'Flow', 'Common'],
                ['article', 'Block', 'Flow', 'Common'],
                ['aside',   'Block', 'Flow', 'Common'],
                ['header',  'Block', 'Flow', 'Common'],
                ['footer',  'Block', 'Flow', 'Common'],
                // Content model actually excludes several tags, not modelled here
                ['address', 'Block', 'Flow', 'Common'],
                ['hgroup', 'Block', 'Required: h1 | h2 | h3 | h4 | h5 | h6', 'Common'],
                // http://developers.whatwg.org/grouping-content.html
                ['figure', 'Block', 'Optional: (figcaption, Flow) | (Flow, figcaption) | Flow', 'Common'],
                ['figcaption', 'Inline', 'Flow', 'Common'],
                // http://developers.whatwg.org/the-video-element.html#the-video-element
                ['video', 'Block', 'Optional: (source, Flow) | (Flow, source) | Flow', 'Common', [
                    'src' => 'URI',
                    'type' => 'Text',
                    'width' => 'Length',
                    'height' => 'Length',
                    'poster' => 'URI',
                    'preload' => 'Enum#auto,metadata,none',
                    'controls' => 'Bool',
                ]],
                ['source', 'Block', 'Flow', 'Common', [
                    'src' => 'URI',
                    'type' => 'Text',
                ]],
                // http://developers.whatwg.org/text-level-semantics.html
                ['s',    'Inline', 'Inline', 'Common'],
                ['var',  'Inline', 'Inline', 'Common'],
                ['sub',  'Inline', 'Inline', 'Common'],
                ['sup',  'Inline', 'Inline', 'Common'],
                ['mark', 'Inline', 'Inline', 'Common'],
                ['wbr',  'Inline', 'Empty', 'Core'],
                // http://developers.whatwg.org/edits.html
                ['ins', 'Block', 'Flow', 'Common', ['cite' => 'URI', 'datetime' => 'CDATA']],
                ['del', 'Block', 'Flow', 'Common', ['cite' => 'URI', 'datetime' => 'CDATA']],
            ],
            'attributes' => [
                ['iframe', 'allowfullscreen', 'Bool'],
                ['table', 'height', 'Text'],
                ['td', 'border', 'Text'],
                ['th', 'border', 'Text'],
                ['tr', 'width', 'Text'],
                ['tr', 'height', 'Text'],
                ['tr', 'border', 'Text'],
            ],
        ],
        'custom_attributes' => [
            ['a', 'target', 'Enum#_blank,_self,_target,_top'],
        ],
        'custom_elements' => [
            ['u', 'Inline', 'Inline', 'Common'],
        ],
    ],
];

这个时候就可以使用如下的调用进行过滤了

clean(Input::get('inputname'));

扩展设置

为了方便扩展性, 我将 config 文件如以下:

<?php
return [
    'encoding'      => 'UTF-8',
    'finalize'      => true,
    'cachePath'     => storage_path('app/purifier'),
    'cacheFileMode' => 0755,
    'settings'      => [
        'default' => [
            'HTML.Doctype'             => 'HTML 4.01 Transitional',
            'HTML.Allowed'             => 'div,b,strong,i,em,u,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
            'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
            'AutoFormat.AutoParagraph' => true,
            'AutoFormat.RemoveEmpty'   => true,
        ],
        'test'    => [
            'Attr.EnableID' => 'true',
        ],
        .
        .
        // 省略无数代码
        .
        .
        'user_topic_body' => array(
            'HTML.Doctype'             => 'XHTML 1.0 Strict',
            'HTML.Allowed'             => 'div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src],pre,code',
            'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
            'AutoFormat.AutoParagraph' => true,
            'AutoFormat.RemoveEmpty'   => true,
        ),
    ],
];

注意到多了一个 user_topic_body 的节点, 这样的话, 我就可以针对性的调用, 如以下, 注意第二个传参:

clean($html_data, 'user_topic_body');
最新文章 相关文章

HTML、CSS和jQuery:构建一个漂亮的登录表单验证

HTML、CSS和jQuery:构建一个漂亮的登录表单验证在Web开发中,登录表单是一个常见的组件。用户在网站或应用程序中登录时,表单验证是确保安全性和准确性的重要步骤。本文将介绍如

2024-01-24 20:47:22

如何使用HTML和CSS实现一个固定侧边导航栏布局

导航栏是网页布局中非常重要的一部分,固定侧边导航栏布局是一种常见的设计模式。本文将介绍如何使用HTML和CSS来实现一个简单的固定侧边导航栏布局,并提供具体的代码示例。 HT

2024-01-24 20:47:05

如何在HTML中创建嵌套表格?

表格是网络开发的基本和关键方面,用于以有序且清晰的格式呈现信息。然而,在某些情况下可能需要呈现更复杂的数据,从而需要使用嵌套表。嵌套表是位于其他表格单元格内的表。在本

2023-09-09 22:34:31

在HTML中,如何设置拖放数据时是复制、移动还是链接?

使用 dropzone 属性设置是否复制、移动或链接拖动的数据。 复制 - 拖放将创建拖动元素的副本。 移动 - 拖动元素将移动到新位置。 链接 - 它创建指向拖动数据的链接尝试以下

2023-09-06 23:39:49

如何使用HTML5画布将DIV保存为带有扩展名的图像?

DIV 内容可以借助 JavaScript 中的 html2canvas() 函数保存为图像。 DIV 标签定义 HTML 文档中的一个部分。示例<div id = ”cpimg” style = ”padding:

2023-09-06 17:17:50

将HTML中的列数设置为跨度

我们在这篇文章中要执行的任务是在HTML中设置要跨越的列数。当使用<td>元素时,可以通过使用colspan属性来实现。因此,一个单独的表格单元格现在可以跨越多个列或宽度的单元格

2023-09-04 22:26:21

如何在HTML5中添加媒体播放器中使用的文本轨道?

使用 HTML5 中的 标签添加媒体播放器中使用的文本轨道。您可以尝试运行以下代码来了解如何添加 HTML5 媒体播放器中使用的文本轨道 -示例<!DOCTYPE HTML><html> <body>

2023-09-04 22:26:03

在HTML中设置有序列表的起始值?

使用start属性来设置HTML中有序列表的起始值,即:<ol start = " ">在上面添加您想要开始的位置的值。示例您可以尝试运行以下代码来实现start属性 -<!DOCTYPE html><html> <h

2023-09-04 22:23:45

html5手写签名的实现示例

前言业务中需要用户进行签字,如何让用户在手机端进行签字?
示例如下代码已分享至Gitee: https://gitee.com/lengcz/qianmingH5实现手写签字创建一个html页面<!DOCTYPE html><h

2023-07-31 21:51:05

html页面点击按钮实现页面跳转功能

html页面点击按钮实现页面跳转方法1、在button标签外嵌套一个a标签,利用超链接进行跳转;<a href="https://www.baidu.com/" target="_blank"> <button>进入baidu首页</button

2023-07-31 21:50:53

关于input type=&quot;file&quot;的及其files对象的深度解析

我们都知道,html5中有个input type=file元素。用该元素可以实现页面上传文件的功能但一般的做法只是简单的在表单中操作,我来研究一下深层东西想要了解它,就要知道它的内置对象

2023-07-31 21:50:44

HTML 列表中的dl,dt,dd,ul,li,ol区别及应用

平时有时候用到div和css对网站界面进行重构,经常会用到标签ul ol li dl dt dd ,这些标签常用于列表显示内容.
学会这几个标签的用途,了解一下他们的区别,对网站代码和加载速

2023-05-29 12:03:44

html+css实现div居中的8种方法

水平居中1.行级元素:为该行级元素的父元素设置text-align:center配合line-height样式<div style="width: 500px;height: 100px;line-height: 100px;border: 1px solid green;

2023-05-29 12:02:18

html5跟随鼠标炫酷动画欢迎页hovertreewelcome

html5跟随鼠标炫酷网站引导页动画特效一款非常不错的引导页,文字效果渐变,鼠标跟随出绚丽的条纹。html5炫酷网站引导页,鼠标跟随出特效。在线演示效果图index.htm<!DOCTYPE ht

2023-05-29 12:02:10

谈谈HTML注释的语法和应用技巧

HTML是一种非常流行的网页编程语言,它可以让网页变得生动、多彩。在编写HTML代码时,注释起到了至关重要的作用。本文将介绍HTML注释的作用、语法和应用技巧,以指导读者正确地使

2023-04-21 14:35:08

如何使用HTML设置文本格式和样式

HTML是一种标记语言,它被用于在Web浏览器中显示各种文本。使用HTML可以添加各种格式和样式,如插图、链接和列表等。在本文中,我们将介绍如何使用HTML设置文本格式和样式。HTML

2023-04-13 20:51:24

html怎么跳转页面?技巧分享

HTML跳转是指从一个网页链接跳转到另一个网页的过程,也可以是同一个页面内部的跳转,比如从文章的顶部跳转到底部。下面我们一起来看一下HTML跳转的方法和技巧。一、超链接跳转

2023-04-13 20:51:01

html怎么设置图片背景?背景属性介绍

在网页设计中,有时候我们需要使用图片作为背景来美化网页。HTML提供了多种方法来设置图片背景,本文将介绍使用CSS的background属性来设置图片背景的方法。一、使用background-

2023-04-13 20:49:50

几种常见的HTML与PDF转换方法

HTML与PDF是两种常见的文档格式,HTML用于在web浏览器中呈现内容,而PDF用于打印和文档共享。有时我们需要将HTML转换成PDF或将PDF转换成HTML以适应不同的需求。本文将介绍几种

2023-04-13 20:48:38

如何学习修改JS和HTML

Javascript和HTML是网页开发中最基础的两种语言,学习它们,将为你成为一名优秀的网页开发者打下坚实的基础。在本文中,我们将讨论如何学习修改JS和HTML。一、学习HTMLHTML是一种

2023-04-13 20:47:29

HTML5之高度塌陷问题的解决

所谓的高度塌陷,意即当给子元素设置浮动时,其父元素高度会丢失的情况。通过实际代码进行演示:<!DOCTYPE html><html lang="en"> <head> <meta charset="UTF-8"> <meta ht

2022-06-08 21:58:30

html5+实现plus.io进行拍照和图片等获取

html5+官网地址使用Hbuilder开发工具开发:实现可对Android机进行控制和获取资源
说明:IO模块管理本地文件系统,用于对文件系统的目录浏览、文件的读取、文件的写入等操作。通过

2022-06-08 21:57:06

HTML中实现音乐或视频自动播放案例详解

由于期末大作业我想插入一个背景音乐,实现点开网页就会自动播放音频的效果。于是我按照书上的案例写了如下代码<audio src="../medio/花海.mp3" loop="loop" controls="contr

2022-05-28 21:18:45

面试中canvas绘制图片模糊图片问题处理

问题:canvas绘制图片,图片变模糊设定一个一定尺寸的canvas,我这里设置的画布大小是400px*400px。当一张图片完全画到画布上的时候,大概率都会出现图片模糊的情况。
我拿下面一张

2022-05-10 21:40:46

使用feDisplacementMap+feImage滤镜实现水波纹效果(计算动态值)

该文章已经讲的特别细致了,该篇仅以此记录动效过程中各点的计算。1.feDisplacementMapfeDisplacementMap 实际上是一个位置替换滤镜,就是改变元素和图形的像素位置的。遍历原

2022-04-27 21:47:56

HTML标签教你实现带动画的抖音LOGO效果

目录抖音Logo结构制作思路如何在一个伪元素中一笔画出整个音符图案呢?开搞开搞打地基画1/4圆环画半圆画长条画半径稍大一些的1/4圆环拆分颜色通过变量获取加个动画最后大家好

2022-04-27 21:47:45

六个好看实用的html简单登录页面小结

本人找到了六个html登录页面,感觉还行,也挺好看的。1.效果一:代码:<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="widt

2022-04-27 21:47:26

使用Canvas绘制一个游戏人物属性图

前言身为一个程序员竟然沉迷游戏,wtf??? 都怪腾讯前几天出了一款叫做寻仙的手游,作为曾经的资深玩家,小V君犹豫再三还是忍不住入坑了。入坑了怎么不去打游戏,还在这里发文章? 不不不

2022-04-04 20:00:48

HTML5基础学习之文本标签控制

目录一、文本标签控制1.标题段落标签1.1标题标签<hi>1.2段落标签<p>2.文本格式化标签2.1换行标签<br>2.2水平标签<hr>2.3字形标签2.4<div>标签2.5<span>标签3.特殊字符标签

2022-04-04 20:00:33

带你了解HTML5 SVG,看看怎么绘制自适应的菱形

最近在某思看到这样一个问题:需要绘制一个自适应尺寸的菱形,并且还有边框,一般在流程图中很常见,效果如下如果没有边框的话,用 CSS clip-path 也能很方便的裁剪出一个菱形,但是边

2022-03-29 20:08:07

PHP中in_array的隐式转换

问题 今天在写一个接口的时候,需要传入大量的基本信息参数,参数分别是int和string两种类型,为了校验方便,我打算把所有的参数都放在数组中,然后用in_array(0, $param)判断

2018-08-20 23:21:12

Jquery前端分页插件pagination使用

插件描述:JqueryPagination是一个轻量级的jquery分页插件。只需几个简单的配置就可以生成分页控件。并且支持ajax获取数据,自定义请求参数,提供多种方法,事件和回调函数,功能全面

2018-08-20 23:18:00

Python操作MongoDB - 极简教程

Python 连接 MongoDB 安装PyMongo模块pip install pymongo 使用MongoClient建立连接from pymongo import MongoClient# 以下为三种建立连接的方式#client = Mongo

2018-08-20 23:17:12

Apache下部署SSL教程

https(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的 http 通道,简单讲是 http 的安全版。即 http 下加入 SSL 层,https 的安全基础是 SSL,

2018-08-20 23:13:02

如何在Debian下安装Webmin

Webmin 是广受欢迎的免费面板,由于习惯了此面板,所以换到 Debian 7 系统后,还是打算安装一下。在过程中出了不少错误,最终还是顺利安装完成。 下面记录一下出错信息及解

2018-08-20 23:11:05

在CentOS下编译安装GCC

我们知道,关于 GCC 在 CentOS 下通过 yum 安装默认版本号,CentOS 5 是 4.1.2;CentOS 6 是 4.4.7;CentOS 7 是 4.8.3。 很多时候在编译安装软件都需要高版本的 GCC,否则就

2018-08-20 23:07:49

Linux 磁盘自检设置

Linux磁盘自检可以通过自行设置自检时间间隔,自动对硬盘进行检测,第一时间监测硬盘的健康状况,提高硬盘可靠性。不同的文件系统(xfs,reiserfs,ext4)都有自己的检测和修复工

2018-08-20 23:05:25

CentOS 7 Yum 安装zabbix-agent 3.4

RHEL 7, Oracle Linux 7, CentOS 7 快速安装zabbix-agent 3.41、安装zabbix yum源rpm -Uvh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-2.el7.no

2018-08-20 23:04:20

Linux使用PS1自定义终端命令行参数(修改Shell命令提示符颜色)

PS1是Linux终端用户的一个环境变量,用来定义命令行提示符的参数。1.Linux环境变量加载顺序:/etc/profile &rarr; /etc/profile.d/*.sh &rarr; ~/.bash_profile &rarr; ~/.bash

2018-08-20 23:01:24

Nginx编译加载使用动态模块(Dynamic Shared Object)(DSO)

Nginx编译加载使用动态模块(Dynamic Shared Object)(DSO)Nginx版本必须>=1.9.11 查看支持的动态模块[root@localhost nginx-1.12.2]# ./configure --help | grep dynamic

2018-08-20 22:59:41

热点内容

网站制作favicon.ico最完美的方式
2020-04-15
html实现随机点名器的示例代码
2021-04-01
HTML中如何显示特殊字符(尖括号 “<”,">")?
2020-09-30
HTML空(void)元素有哪些?
2019-11-10
HTML/CSS实现逆序列表(列表编号倒序)
2020-09-30
自定义美化HTML5 video视频播放器界面样式
2018-08-26
html怎么设置文字向下
2021-02-25
html中隐藏A标签的文字并显示背景图片
2019-10-08
html怎么实现左右滑动导航栏
2020-08-25
html中onclick事件属性定义与用法
2019-10-04
返回顶部
顶部