个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我在我的文本字段中使用 HTML Purifier(Yii2)。
我需要在原件中保存“&”,但净化器转换为“&”;
我不想用 str_replace净化器后。
你能帮我配置吗?
我的配置:
['name'],
'filter',
'filter' => function($value) {
return HtmlPurifier::process($value, [
'HTML.SafeObject' => true,
'HTML.SafeEmbed' => true,
'Core.EscapeNonASCIICharacters' => true,
'Core.Encoding' => 'UTF-8'
]);
}
最佳答案
您在评论中提到您在将信息输入数据库之前要进行净化。
我建议您从架构的角度重新考虑这一点,因为它有几个不足之处,例如您丢失了原始用户输入(您以后可能出于任何原因想要对其进行分析),一旦您的数据库变得不那么有用了您想对数据做其他事情,并且您当前版本的 HTML Purifier(可能与安全相关)中的错误不会被解决。您可以查看有关 重要性的更多信息为上下文转义/清理 在 this answer .
也就是说,您的问题之前已在 HTML Purifier 论坛上讨论过:Do not escape ampersand .该线程讨论了为什么难以治疗 &以不同的方式保持安全,并且基本上“建议”不要使用 HTML Purifier,这当然不能解决您的问题。
尽管如此,如果您被迫将纯化的 HTML 存储在数据库中,那么该线程中有一些建议和想法可能会对您有所帮助:
Perhaps a more useful response would be: store the raw, user submitted data (without running HTML Purifier on it) in the database, and run search queries on that. However, store in the database as well a cached version of the HTML Purified version.
< 为例):
No such boolean flag exists, and it would be reasonably tricky to implement safely (you'd want to do something silly like convert literal < and friends to some unforgeable piece of text and then convert < to the literal version.)
关于php - HTML 净化器转换 & -> &,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40463606/
24
4
0
我有一个关于 Yii2 验证的问题。所以,我的模型验证规则是这样的: return [ ['status', 'required', 'on' => 'update'], [['sta
我在使用 HTMLPurifier 包时遇到问题。我安装的是这样的: php artisan bundle:install Sanitizer 然后我编辑了 application/bundles.p
有什么方法可以清理 JavaScript 代码吗? 我想让用户能够发布任意 JS,但我想过滤掉其中的一些,例如 eval 和 document.write。您知道有什么工具可以做到这一点吗? 最佳答案
链接和 html 净化器的老问题。我正在使用这段代码: $config = HTMLPurifier_Config::createDefault(); $config->set('HTML.Allo
我正在使用 HTML Purifier 来保护我的应用程序免受 XSS 攻击。目前我正在从 WYSIWYG 编辑器中净化内容,因为这是唯一允许用户使用 XHTML 标记的地方。 我的问题是,我是否也应
我们的软件最近因允许用户使用 HTML 和 CSS 设计自己的帖子样式的功能而受到 XSS 攻击。是否可以允许用户对自己的论坛帖子进行样式设置,同时清理其他任何内容? 这是我们目前的代码: requi
前提 我想使用 HTML Purifier改造 标记为 标签,以保留 上的内联样式元素,例如Hi there.会转向Hi there. .我正在查看 custom tag 的组合和一个 TagTra
根据 the HTML Purifier smoketest ,“格式错误”的 URI 有时会被丢弃以留下无属性的 anchor 标记,例如 XSS变成 XSS ...以及偶尔被剥离到协议(proto
我只是在研究使用 HTML Purifier 来确保用户输入的字符串(代表一个人的名字)被净化。 我不想允许任何 html 标签、脚本、标记等 - 我只想要字母、数字和普通标点字符。 HTML Pur
我是一名优秀的程序员,十分优秀!