最受欢迎

PHP删除HTML标记中的所有HTML事件属性

PHP remove all HTML event attributes in an HTML tag

本文关键字:HTML 事件 属性 删除 PHP | 更新日期: 2023-09-27

我想删除所有事件属性(例如,从基于事件引用列表的所有事件中)。

PHP的DOMDocument类中有识别事件属性的函数吗?

我尝试过使用RegEx,但单引号和双引号使它变得复杂:

preg_replace('/on*[a-z]+=".*?"/i', '', $html); // Doesn't match onclick="alert('"hello'");"

我尝试了一个名为HTMLPurifier的外部库,但它没有删除所有事件属性的选项。

知道该采取什么方向或简单的解决方案吗?

如果你想要真正安全的代码,白名单方法(‘只允许这些东西:…’)通常比黑名单方法("不允许这些东西……")更坚固。

您提到HTML Purifier,并且"它没有删除所有事件属性的选项"。

那是。。。技术上是正确的,因为您不能告诉它删除事件属性。不过,原因在于卖点:它会自动做到这一点。"缺少"的选项是将HTML净化器配置为允许事件属性的功能。这是故意的错误。HTML Purifier(顾名思义)具有很强的安全性。

有一些"不安全的HTML"方面,可以允许使用HTML净化器配置(默认配置是故意挑剔的),但事件属性不在其中。(好吧,如果你跳过重重关卡,你可以教HTML净化器接受它们,但这需要付出很多努力。)

如果你想接受用户HTML,我建议你再试一次。这是一个相当成熟的工具,经过了很多人的测试。

有一些非常棘手的方法可以破坏HTML并注入JavaScript。例如,您知道可以使用srchref属性注入JavaScript吗?你知道吗,在某些浏览器中,你可以使用style标签注入JavaScript?看看这个XSS备忘单。它可能会让你大致了解你面临的挑战,以及为什么白名单通常被认为更有效。

不管怎样,祝你好运!

function filterText($value)
{
  if(!$value) return $value;
  return escapeJsEvent(removeScriptTag($value));
}
function escapeJsEvent($value){
  return preg_replace('/(<.+?)(?<='s)on[a-z]+'s*='s*(?:([''"])(?!'2).+?'2|(?:'S+?'(.*?')(?=['s>])))(.*?>)/i', "$1 $3", $value);        
}
function removeScriptTag($text)
{
   $search = array("'<script[^>]*?>.*?</script>'si",
         "'<iframe[^>]*?>.*?</iframe>'si");
  $replace = array('','');
  $text = preg_replace($search, $replace, $text);
  return preg_replace_callback("'&#('d+);'", function ($m) {
    return chr($m[1]);
  }, $text);
}

echo filterText('<img src=1 href=1 onerror="javascript:alert(1)"></img>');

使用DOM实现它的方法

以下代码查找并删除所有html标记中名称以"on"开头的属性。
$html代表html代码)

$doc = new DOMDocument();
@$doc->loadHTML($html);
$xpath = new DOMXPath($doc);
$onAttributes = $xpath->query("//*/@*[starts-with(name(), 'on')]");
foreach ($onAttributes as $onAttribute) {
    $onAttribute->ownerElement->removeAttributeNode($onAttribute);
}
$body = $xpath->query('body')->item(0);
$result = substr($doc->saveHTML($body),6,-7);

加载HTML文档,遍历所有元素,然后遍历它们的所有属性(嵌套),如果属性以on:开头,则删除它们

$doc = new DOMDocument();
$doc->loadHTML($html);
foreach ($doc->getElementsByTagname('*') as $element) 
{
    foreach (iterator_to_array($element->attributes) as $name => $attribute)
    {
        if (substr_compare($name, 'on', 0, 2, TRUE) === 0)
        {
            $element->removeAttribute($name);
        }
    }
}

您可能还想抓取已知属性名称的列表,并在发现未知属性时发出警告(或者有一个您允许的属性白名单)。希望这能有所帮助,代码很快被键入,可能会有一些小错误。

相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习