修改htmlpurifier允許標籤此標記

Question

我的HTML淨化器設置現在只允許這些標籤

$configuration->set('HTML.Allowed', 'p,ul,ol,li'); 

我想允許列表的縮進和我的編輯器使用這個網站

<ul style="margin-left: 40px;"> 

我應該如何改變我的HTMLPurifier允許標記？我想添加style，但我認爲最好指定允許使用哪種樣式，在這種情況下應該是margin-left。什麼是正確的方式來改變HTML.Allowed這種情況下？

Answer 1

允許使用樣式屬性，然後使用%CSS.AllowedProperties修改允許的CSS屬性。

$configuration->set('HTML.Allowed', 'p,ul[style],ol,li'); 
$configuration->set('CSS.AllowedProperties', 'margin-left');

P.S.我很驚訝有多少人不明白HTML淨化器的工作原理。

Answer 2

至少，你要允許其淨化器的支持，像這樣的標籤屬性：

$configuration->set('HTML.Allowed', 'p,ul[style],ol,li'); 

我不知道你是否也可以允許/限制屬性的內容，雖然。

Answer 3

我建議你根本不允許屬性。允許style屬性導致IE7中的XSS漏洞（可能還有其他版本，目前我不確定），但問題是，這太危險了。你應該自己解析HTML，並用代碼中的常量字符串替換用戶。允許HTML是一種非常危險的做法。爲了更好的安全性，您可能想要嘗試諸如降價或創建自己非常簡單的標記類型語言（如BBcode）以供用戶使用。

Answer 4

就像SamT所說的關於IE7中的XSS漏洞一樣，由於Microsoft移動允許通過「expression（）」（也稱爲Dynamic屬性）。 http://msdn.microsoft.com/en-us/library/ms537634(v=vs.85).aspx

關於它在IE8，其中微軟公然承認，它暴露用戶的其他漏洞去除： http://blogs.msdn.com/b/ie/archive/2008/10/16/ending-expressions.aspx

例如：

<a href="" style="width: expression(alert('XSS'));">blah</a> 

上面會彈出一個JavaScript警告框MSIE根據MSDN上的文檔，當Quirks模式處於活動狀態時，它也應該在IE8上工作。 它也可能發生在IE9怪癖模式，但我不能確定。

如果可能，請避免允許訪問style屬性。你永遠不知道什麼時候另一個未來的瀏覽器會得到天才的想法來補充微軟犯的同樣的錯誤。