我想删除所有事件属性(例如,从基于事件引用列表的所有事件中)。
PHP的DOMDocument类中有识别事件属性的函数吗?
我尝试过使用RegEx,但单引号和双引号使它变得复杂:
preg_replace('/on*[a-z]+=".*?"/i', '', $html); // Doesn't match onclick="alert('"hello'");"
我尝试了一个名为HTMLPurifier的外部库,但它没有删除所有事件属性的选项。
知道该采取什么方向或简单的解决方案吗?
如果你想要真正安全的代码,白名单方法(‘只允许这些东西:…’)通常比黑名单方法("不允许这些东西……")更坚固。
您提到HTML Purifier,并且"它没有删除所有事件属性的选项"。
那是。。。技术上是正确的,因为您不能告诉它删除事件属性。不过,原因在于卖点:它会自动做到这一点。"缺少"的选项是将HTML净化器配置为允许事件属性的功能。这是故意的错误。HTML Purifier(顾名思义)具有很强的安全性。
有一些"不安全的HTML"方面,可以允许使用HTML净化器配置(默认配置是故意挑剔的),但事件属性不在其中。(好吧,如果你跳过重重关卡,你可以教HTML净化器接受它们,但这需要付出很多努力。)
如果你想接受用户HTML,我建议你再试一次。这是一个相当成熟的工具,经过了很多人的测试。
有一些非常棘手的方法可以破坏HTML并注入JavaScript。例如,您知道可以使用src
或href
属性注入JavaScript吗?你知道吗,在某些浏览器中,你可以使用style
标签注入JavaScript?看看这个XSS备忘单。它可能会让你大致了解你面临的挑战,以及为什么白名单通常被认为更有效。
不管怎样,祝你好运!
function filterText($value)
{
if(!$value) return $value;
return escapeJsEvent(removeScriptTag($value));
}
function escapeJsEvent($value){
return preg_replace('/(<.+?)(?<='s)on[a-z]+'s*='s*(?:([''"])(?!'2).+?'2|(?:'S+?'(.*?')(?=['s>])))(.*?>)/i', "$1 $3", $value);
}
function removeScriptTag($text)
{
$search = array("'<script[^>]*?>.*?</script>'si",
"'<iframe[^>]*?>.*?</iframe>'si");
$replace = array('','');
$text = preg_replace($search, $replace, $text);
return preg_replace_callback("'&#('d+);'", function ($m) {
return chr($m[1]);
}, $text);
}
echo filterText('<img src=1 href=1 onerror="javascript:alert(1)"></img>');
使用DOM实现它的方法
以下代码查找并删除所有html标记中名称以"on"开头的属性。
($html
代表html代码)
$doc = new DOMDocument();
@$doc->loadHTML($html);
$xpath = new DOMXPath($doc);
$onAttributes = $xpath->query("//*/@*[starts-with(name(), 'on')]");
foreach ($onAttributes as $onAttribute) {
$onAttribute->ownerElement->removeAttributeNode($onAttribute);
}
$body = $xpath->query('body')->item(0);
$result = substr($doc->saveHTML($body),6,-7);
加载HTML文档,遍历所有元素,然后遍历它们的所有属性(嵌套),如果属性以on
:开头,则删除它们
$doc = new DOMDocument();
$doc->loadHTML($html);
foreach ($doc->getElementsByTagname('*') as $element)
{
foreach (iterator_to_array($element->attributes) as $name => $attribute)
{
if (substr_compare($name, 'on', 0, 2, TRUE) === 0)
{
$element->removeAttribute($name);
}
}
}
您可能还想抓取已知属性名称的列表,并在发现未知属性时发出警告(或者有一个您允许的属性白名单)。希望这能有所帮助,代码很快被键入,可能会有一些小错误。