PHP 之使用HTMLPurifier过滤XSS

一、HTMLPurifier下载

http://htmlpurifier.org/

二、cleanXSS函数封装

复制代码
function cleanXSS($content)
{
    require_once 'xss/htmlpurifier/library/HTMLPurifier.auto.php';
    
    $config = HTMLPurifier_Config::createDefault();
    
     // 允许的html标签
    // $config->set('HTML.Allowed', 'img[src|style],a[href]');
    //设置允许的属性
    // $config->set('HTML.AllowedAttributes', array('style' => true, 'src' => true));
    //允许特定的CSS属性
    // $config->set('CSS.AllowedProperties', 'width,height');
    //禁止css类名
    // $config->set('Attr.ForbiddenClasses', 'test, aa');

    $purifier = new HTMLPurifier($config);
    $clean_html = $purifier->purify($content);
    return $clean_html;
}

三、简单示例

过滤前

复制代码
<img class="aa" src="https://www.test.com/api/avatar/default.jpg?v=1754031794" style="width:100px;" onerror="alert(1)"/><a href="http://www.baidu.com" class="test" onclick="alert('xss')">123</a>

过滤后

复制代码
<img class="aa" src="https://www.test.com/api/avatar/default.jpg?v=1754031794" style="width:100px;" alt="default.jpg?v=1754031794" /><a href="http://www.baidu.com" class="test">123</a>
相关推荐
小白黑科技测评11 小时前
2025 年编程工具实测:零基础学习平台适配性全面解析!
java·开发语言·python
行思理11 小时前
Dockerfile 各指令说明
运维·macos·docker·容器·php
ejinxian11 小时前
Python 3.14 发布
java·开发语言·python
明仔的阳光午后11 小时前
React 入门 01:快速写一个React的HelloWorld项目
前端·javascript·react.js·前端框架·reactjs·react
喜欢读源码的小白11 小时前
【Spring Boot + Spring Security】从入门到源码精通:藏经阁权限设计与过滤器链深度解析
java·开发语言·spring boot·spring security
NEU-UUN11 小时前
C语言 . 第二章第二节 . 分支结构
c语言·开发语言
千里镜宵烛11 小时前
Lua-function的常见表现形式
开发语言·junit·lua
阿巴~阿巴~11 小时前
线程局部存储(Thread-Local Storage, TLS)
linux·服务器·开发语言·c++·线程·虚拟地址空间·线程局部存储
初见无风11 小时前
2.4 Lua代码中table常用API
开发语言·lua·lua5.4
初见无风11 小时前
2.6 Lua代码中function的常见用法
开发语言·lua·lua5.4