1
我有一些本地編寫的HTML,希望通過HTML淨化器運行它。它完全由我生成,所以我知道沒有XSS漏洞。我試圖通過淨化器運行它,但無論我嘗試什麼,都會解析href ='javascript:myFunc()'。如何使用HTML淨化器允許href ='javascript:myFunc()'?
我目前的設置是:
$string = file_get_contents($myHTMLFile);
$schemes = array (
'http' => true,
'https' => true,
'mailto' => true,
'ftp' => true,
'nntp' => true,
'news' => true,
'javascript' => true,
);
$config = HTMLPurifier_Config::createDefault();
$config->set('URL.AllowedSchemes', array($schemes));
$purifier = new HTMLPurifier($config);
$string = $purifier->purify($string);
這不是工作在所有 - 所有的JavaScript被剝離出來。
我已經查看了所有各種HTML Purifier配置設置,但找不到我需要的東西。有沒有答案?
在此先感謝
http://stackoverflow.com/questions/5138282/how-do-i-add-javascript-url-scheme-in-html-purifier-module-in-drupal有文檔鏈接。儘管我可以毫不知情。 (繁瑣的配置) - 如果你想出來,請自己發佈答案! – mario 2011-04-13 18:02:06