php - HTMLPurifier, tüm HTML belgeyi kontrol

HTMLPurifier, tüm HTML belgeyi kontrol

3 Cevap php

Ben bütün bir HTML belgesi XSS kontrol etmek için HTMLPurifier kullanıyorum. Sorun içeride <body> etiketleri değildir anyything dışarı şerit görünüyor olmasıdır. Ama, her şeyi tutmak istiyorum, sadece ciddi XSS saldırıları için dışarı bakmak.

Herhangi bir fikir nasıl izin <HTML>, <HEAD>, <META> vb?

3 Cevap

David, sadece HTMLPurifier destek forumunda arandı ve meşgul oldum gördüm.

Ama belki bir kaç ay önce dan ilanı cevapsız addresses your exact issue, özellikle cevap:

Full document support will (ostensibly) come some time in the HTML Purifier 5.x series; we don't actually have the parsing code necessary to actually deal with full HTML documents.

O zamana kadar, başınızı ve DTD yakalamak isteyeceksiniz ve saflaştırılmış doc yeniden ekleyin.

Eğer 'kafa' den çalışan bir XSS saldırısı inşa unutmayın.

Sen saflaştırılmış kodu içinde ('div' it varsayılan) ne olacak etiketi HTML Arıtma söyleyebilirim. 'Yayılma' Bu ayarlama bütün blok düzeyi etiketlerini bloke olur. Siz, hatta 'html' için 'vücut' bunu ayarı ile deneme.