c# - 如何过滤除特定白名单之外的所有 HTML 标签？

Question

这是针对 .NET 的。 IgnoreCase 已设置且 MultiLine 未设置。

通常我在正则表达式方面表现不错，也许我咖啡因不足...

允许用户输入 HTML 编码的实体(

u, i, b, h3, h4, br, a, img

自闭
和是允许的，有或没有额外的空间，但不是必需的。

我想:

1. 除去上面列出的那些之外的所有开始和结束 HTML 标记。
2. 从剩余的标签中删除属性，除了 anchor 可以有一个 href。

到目前为止我的搜索模式(替换为空字符串):

<(?!i|b|h3|h4|a|img|/i|/b|/h3|/h4|/a|/img)[^>]+>

这似乎除了我想要的开始和结束标签之外的所有标签，但是存在三个问题:

1. 必须包含每个允许标签的结束标签版本是丑陋的。
2. 属性得以保留。这可以在一次更换中发生吗？
3. 标签以 开头的允许的标签名称会溜走。例如，“ ”和“<iframe>”。

以下建议的模式不会去除没有属性的标签。

</?(?!i|b|h3|h4|a|img)\b[^>]*>

如下所述，“>”在属性值中是合法的，但可以肯定地说我不会支持它。此外，也不会有 CDATA block 等问题需要担心。只是一点点 HTML。

Loophole 的回答是迄今为止最好的回答，谢谢!这是他的模式(希望 PRE 更适合我):

static string SanitizeHtml(string html)
{
    string acceptable = "script|link|title";
    string stringPattern = @"</?(?(?=" + acceptable + @")notag|[a-zA-Z0-9]+)(?:\s[a-zA-Z0-9\-]+=?(?:([""']?).*?\1?)?)*\s*/?>";
    return Regex.Replace(html, stringPattern, "sausage");
}

我认为仍然可以对这个答案进行一些小的调整:

1. 我认为可以通过将“!--”添加到“acceptable”变量并对表达式的末尾进行小的更改来修改它以捕获简单的 HTML 注释(那些本身不包含标签的注释)以允许一个可选的尾随“\s--”。

2. 我认为如果属性之间有多个空白字符(例如:属性之间有换行符和制表符的重格式 HTML)，我认为这会中断。

编辑 2009-07-23:这是我采用的最终解决方案(在 VB.NET 中):

 Dim AcceptableTags As String = "i|b|u|sup|sub|ol|ul|li|br|h2|h3|h4|h5|span|div|p|a|img|blockquote"
 Dim WhiteListPattern As String = "</?(?(?=" & AcceptableTags & _
      ")notag|[a-zA-Z0-9]+)(?:\s[a-zA-Z0-9\-]+=?(?:([""']?).*?\1?)?)*\s*/?>"
 html = Regex.Replace(html, WhiteListPattern, "", RegExOptions.Compiled)

需要注意的是，A 标签的 HREF 属性仍然会被清除，这并不理想。

Answer 1

这是我为此任务编写的函数:

static string SanitizeHtml(string html)
{
    string acceptable = "script|link|title";
    string stringPattern = @"</?(?(?=" + acceptable + @")notag|[a-zA-Z0-9]+)(?:\s[a-zA-Z0-9\-]+=?(?:(["",']?).*?\1?)?)*\s*/?>";
    return Regex.Replace(html, stringPattern, "sausage");
}

编辑:出于某种原因，我将对我之前答案的更正作为单独的答案发布，因此我将它们合并在这里。

我会稍微解释一下正则表达式，因为它有点长。

第一部分匹配一个左括号和 0 或 1 个斜杠(如果它是一个结束标记)。

接下来您会看到一个具有前瞻性的 if-then 结构。 (?(?=SomeTag)then|else) 我正在检查字符串的下一部分是否是可接受的标签之一。您可以看到我将正则表达式字符串与可接受的变量连接起来，这是可接受的标签名称，由竖条分隔，以便任何术语都匹配。如果匹配，你可以看到我输入了“notag”这个词，因为没有标签会匹配它，如果可以接受，我不想管它。否则，我将转到 else 部分，在那里我匹配任何标签名称 [a-z,A-Z,0-9]+

接下来，我想匹配 0 个或多个属性，我假设它们的形式为 attribute="value"。所以现在我将代表一个属性的这部分分组，但我使用 ?: 来防止该组被速度捕获: (?:\s[a-z,A-Z,0-9,-]+=?(?:(["",']?).?\1?))

这里我从标记和属性名称之间的空白字符开始，然后匹配属性名称:[a-z,A-Z,0-9,-]+

接下来我匹配一个等号，然后是引号。我将报价分组，以便将其捕获，我可以稍后进行反向引用\1 以匹配相同类型的报价。在这两个引号之间，您可以看到我使用句点来匹配任何内容，但是我使用的是惰性版本 *?而不是贪婪的版本 * 这样它只会匹配下一个结束这个值的引号。

接下来我们在用括号结束组之后放置一个*，以便它匹配多个属性/值组合(或不匹配)。最后，我们将一些空格与\s 以及 0 或 1 个结束斜杠匹配到 xml 样式的自闭合标签中。

你可以看到我正在用香肠替换标签，因为我饿了，但你也可以用空字符串替换它们以清除它们。