代码之家 › 专栏 › 技术社区 › Andreas Bonini

除去标记的php函数,除了白名单中的标记和属性列表

html-parsing html php

Andreas Bonini · 技术社区 · 14 年前

我必须从用户输入中去掉所有HTML标记和属性,除了那些被认为是“安全”的(即白名单方法)。

strip_tags() 删除除在 $allowable_tags 参数。但我还需要能够删除所有未白名单中的属性;例如,我希望允许 <b> 标签,但我不想允许 onclick 原因显而易见。

这有什么作用吗,还是我要自己做?

2 回复 | 直到 12 年前

Wrikken 14 年前

据我所知, strip_tags 解决方案是消除不需要的标签的最快方法,并且除了第三方软件包,在domdocument中检查允许的属性非常容易,

$string = strip_tags($string,'<b>');
$dom = new DOMDocument();
$dom->loadHTML($string);
$allowed_attributes = array('id');
foreach($dom->getElementsByTagName('*') as $node){
    for($i = $node->attributes->length -1; $i >= 0; $i--){
        $attribute = $node->attributes->item($i);
        if(!in_array($attribute->name,$allowed_attributes)) $node->removeAttributeNode($attribute);
    }
}
var_dump($dom->saveHTML());

-1

Andreas 14 年前

它没有任何功能,因此您可能需要编写一个函数。也许,正则表达式可以做到这一点。

推荐文章

code-geek · Jquery根据单选按钮选择隐藏或显示文本字段

4 月前

Jamie · 在CSS链接的文件名中添加Jinja占位符

4 月前

ptownbro · 重叠分区标签,同时保持以下所有分区和内容就位

4 月前

Luke Frost IEng MIMechE · Bootstrap 5.3在Div中的项目位置没有如我所期望的那样显示

4 月前

Reegan · 使用Angular ngFor指令在html中渲染嵌套对象值

4 月前

wqyutv · 当找不到文件时,任何破坏错误的东西都不会出现,我该怎么解决这个问题?

4 月前

user29519291 · 为不同的变量创建一个带有可重用Click函数的简单菜单

4 月前

Gukkey · 在React中明确隐藏日期类型输入后,如果我单击父div,如何显示日期选择器?

4 月前

Lorenzo Bertolaccini · 在Angular项目中通过对话框后,在控制台中显示但在HTML中不显示的数据数组

4 月前

john Rizzo · 按钮背景颜色、悬停和活动状态存在问题

4 月前