Maison >développement back-end >tutoriel php >HTMLPurifier empêche les attaques XSS en PHP
Cet article présente le contenu de HTMLPurifier en PHP pour prévenir les attaques XSS. Il a une certaine valeur de référence. Maintenant, je le partage avec vous. Les amis dans le besoin peuvent s'y référer
HTMLPurifier est le meilleur que j'ai jamais connu. utilisé. Le filtre HTML de texte enrichi PHP adopte un mécanisme de liste blanche, qui élimine efficacement les balises HTML illégales dans les formulaires de soumission des utilisateurs, empêchant ainsi les attaques XSS !
HTMLPurifier项目地址:http://htmlpurifier.org
Enregistrez la méthode de configuration pour une utilisation au travail !
/** * * @param [type] $string [要过滤的内容] * @return [type] [description] */function filterXSS($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 require_once './Public/Admin/htmlpurifier/HTMLPurifier.auto.php'; // 生成配置对象 $cfg = HTMLPurifier_Config::createDefault(); // 以下就是配置: $cfg -> set('Core.Encoding', 'UTF-8'); // 设置允许使用的HTML标签 $cfg -> set('HTML.Allowed','p,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]'); // 设置允许出现的CSS样式属性 $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align'); // 设置a标签上是否允许使用target="_blank" $cfg -> set('HTML.TargetBlank', TRUE); // 使用配置生成过滤用的对象 $obj = new HTMLPurifier($cfg); // 过滤字符串 return $obj -> purify($string); }
La fonction de filtrage de HTMLPurifier est très puissante. Ici, nous expliquons principalement comment écrire la configuration. Ce n'est qu'une fois la configuration terminée que vous pourrez savoir comment l'étendre !
——用别人的微笑,点缀自己的生活,献给奋斗中的自己。
Recommandations associées :
Utiliser exec pour appeler des commandes système en PHP
Analyse détaillée et analyse de php curl à l'aide de CURL en PHP Gros fosses communes
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!