HTML Purifier là một giải pháp lọc HTML sử dụng sự kết hợp độc đáo giữa danh sách trắng mạnh mẽ và phân tích cú pháp tích cực để đảm bảo rằng không chỉ các cuộc tấn công XSS bị cản trở mà HTML thu được còn tuân thủ các tiêu chuẩn
HTML Purifier được định hướng tới các tài liệu được định dạng phong phú từ các nguồn không đáng tin cậy yêu cầu CSS và bộ thẻ đầy đủ. Thư viện này có thể được định cấu hình để chấp nhận một bộ thẻ hạn chế hơn, nhưng nó sẽ không hiệu quả bằng các trình phân tích cú pháp cơ bản hơn. Tuy nhiên, nó sẽ thực hiện đúng công việc, điều này có thể quan trọng hơn
Nơi để đi
- Xem INSTALL để biết hướng dẫn cài đặt nhanh
- Xem tài liệu/ để biết tài liệu hướng đến nhà phát triển, ví dụ về mã và hướng dẫn cài đặt chuyên sâu
- Xem WYSIWYG để biết thông tin về các trình soạn thảo như TinyMCE và FCKeditor
Trình lọc HTML có thể được tìm thấy trên web tại. http. //htmlbộ lọc. tổ chức/
Cài đặt
Gói có sẵn trên Composer
Nếu bạn đang sử dụng Trình soạn thảo để quản lý các phụ thuộc, bạn có thể sử dụng
$ composer require ezyang/htmlpurifier
HTML Purifier là một giải pháp lọc HTML sử dụng sự kết hợp độc đáo giữa danh sách trắng mạnh mẽ và phân tích cú pháp tích cực để đảm bảo rằng không chỉ các cuộc tấn công XSS bị cản trở mà HTML thu được còn tuân thủ các tiêu chuẩn
HTML Purifier được định hướng tới các tài liệu được định dạng phong phú từ các nguồn không đáng tin cậy yêu cầu CSS và bộ thẻ đầy đủ. Thư viện này có thể được định cấu hình để chấp nhận một bộ thẻ hạn chế hơn, nhưng nó sẽ không hiệu quả bằng các trình phân tích cú pháp cơ bản hơn. Tuy nhiên, nó sẽ thực hiện đúng công việc, điều này có thể quan trọng hơn
Nơi để đi
- Xem INSTALL để biết hướng dẫn cài đặt nhanh
- Xem tài liệu/ để biết tài liệu hướng đến nhà phát triển, ví dụ về mã và hướng dẫn cài đặt chuyên sâu
- Xem WYSIWYG để biết thông tin về các trình soạn thảo như TinyMCE và FCKeditor
Trình lọc HTML có thể được tìm thấy trên web tại. http. //htmlbộ lọc. tổ chức/
Cài đặt
Gói có sẵn trên Composer
Nếu bạn đang sử dụng Trình soạn thảo để quản lý các phụ thuộc, bạn có thể sử dụng
$ composer require ezyang/htmlpurifier
HTML Purifier là thư viện bộ lọc HTML tuân thủ tiêu chuẩn. HTML Purifier sẽ không chỉ loại bỏ tất cả các mã độc hại [hay còn gọi là XSS] với danh sách trắng được kiểm tra kỹ lưỡng, an toàn mà còn cho phép, mà còn đảm bảo tài liệu của bạn tuân thủ các tiêu chuẩn, điều chỉ có thể đạt được khi có kiến thức toàn diện về các thông số kỹ thuật của W3C
HTML Purifier rất ngon khi được kết hợp với các trình soạn thảo WYSIWYG và toàn diện hơn, tuân thủ các tiêu chuẩn, cho phép và mở rộng hơn so với tùy chọn HTML được lọc tích hợp sẵn của Drupal, sử dụng một dẫn xuất của kses. Bạn có thể đọc thêm về nó trang. Bạn muốn phông chữ tùy chỉnh, bảng, kiểu nội tuyến, hình ảnh, v.v.?
Mô-đun Trình lọc HTML được cấp phép theo GPL v2 trở lên, tuy nhiên, bản thân thư viện Trình lọc HTML được cấp phép theo LGPL v2. 1 hoặc muộn hơn
Muốn cho nó một ổ đĩa thử nghiệm? . tôi
drupal 8
Cài đặt mô-đun bằng trình soạn thảo.
______3
Kích hoạt nó và định cấu hình bộ lọc cho từng định dạng văn bản trong Quản trị - Cấu hình - Định dạng văn bản và trình chỉnh sửa [admin/config/content/formats]
Bạn có thể sử dụng Tài liệu cấu hình bộ lọc HTML làm tài liệu tham khảo để tìm hiểu và chỉnh sửa cài đặt cấu hình có sẵn ở định dạng YAML trong vùng văn bản biểu mẫu cài đặt bộ lọc
Vệ sinh nội dung HTML từ người dùng là một trong những phần quan trọng nhất để bảo vệ ứng dụng khỏi các cuộc tấn công XSS. Trong PHP, bạn có thể sử dụng lệnh gọi strip_tags[]
đơn giản với danh sách trắng. Nhưng có nhiều giải pháp tinh vi hơn như sau
Với thư viện HTMLPurifier
, bạn không chỉ có thể xác định thẻ nào bạn muốn cho phép mà còn xác định thuộc tính nào trong thẻ