問題タブ [htmlpurifier]

jWYSIWYG エディターでは、Enter を押すと s が挿入され<br />ます。

これの代わりに、エンターを押すと、チャンクが<p>タグでラップされることをお勧めします。

出力とは

私が欲しいもの

構成を簡単に調べると、内部でハッキングしないとできないようです。

プラグインをハックするか、PHP を使用することをお勧めしますか? 受信した HTML は HTML Purifier で解析されるので、それができれば素晴らしいことです。

では、プラグインまたは PHP のどこでそれを行う必要がありますか? それを行う方法の簡単な実装はありますか?

ありがとう

私は、ユーザーがXSS攻撃の可能性に対してオプションでHTMLPurifierを使用できるようにするKohanaフレームワークを見ました。

HTMLPurifierは、HTMLの標準準拠の出力を可能にすることを目的としていると思いました。

XSS攻撃を100％、またはおそらく大幅に回避するのに役立ちますか？または、他の何かを提案します。

ありがとう

ホワイトリストも定義されている.NET用の包括的なHtmlクリーナー/Anti-Xssライブラリはありますか？Microsofts Anti-Xssから始めるのが良いことは知っていますが、許可されたhtmlタグとcssの適切なホワイトリストが必要です。誰か知っていますか？

私はデータベースを持っていますが、テーブル構造を再構築しているのはがらくただったので、あるテーブルから別のテーブルにデータの一部を移植しています。このデータはMSO製品からコピーペーストされたように見えるので、データを取得しているので、phpのhtmlpurifierとstr_replaceを使用してデータをクリーンアップします。クリーン機能は次のとおりです。

ただし、結果を新しいテーブルに入れてckeditorに出力すると、これらの3つの文字が表示されます。

次に、ckeditorのコンテンツから特殊文字を削除するために呼び出されるjavascript関数もあります。それもきれいにしません

誰かが私がそれらを取り除くために何をする必要があるかをすぐに知っていますか？ある種の引用かもしれないと思います。

HTML Purifier http://htmlpurifier.org/をインストールしようとしていますが、 Undefined variable: dirty_html というエラーが表示されます。どうすればこの問題を解決できますか？

これがPHPコードです。

これが私のhtmlフォームです。

ユーザーからデータを収集するこのスクリプトがあり、 HTML Purifierを使用してデータに悪意のあるコード (XSS や SQL インジェクションなど) がないかチェックしたいのですが、それを PHP フォーム送信スクリプトに追加するにはどうすればよいですか?

これが私のHTML Purifierコードです：

これが私のPHPフォーム送信コードです:

HTML Purifier http://htmlpurifier.org/を使用して、Web ページで YouTube ビデオを許可するにはどうすればよいですか。

誰かが私がチェックしなければならない彼らのデモでこれについて私を助けることができますUse experimental features. YouTube 動画を許可するようにコードを修正するにはどうすればよいですか?

http://htmlpurifier.org/docs/enduser-youtube.htmlドキュメントを読みましたが、オブジェクト、パラメータ、埋め込みタグを許可するコードをどこに配置するか、およびUse experimental featureshtmlpurifierを使用してもわかりません。誰かがこれを行う方法を教えてもらえますか？

前提

テストの実行時に異なる動作をするコードを書くことは、陽気に悪い習慣であることを私は知っていますが、実際にそれが必要になるかもしれないシナリオに出くわしたかもしれません。

具体的には、ZendフレームワークでHTML Purifierの非常に特殊なラッパー（正確にはView Helper）をテストしようとしています。HTML Purifierオートローダーは、他の方法で使用しているオートローダーとは異なるロジックを使用するため、必要です。

問題

require（）- View Helperクラスの最上位にあるオートローダーを実行すると、テストスコープで次のようになります。

HTML Purifierオートローダーレジストラは、PHPバグ＃44144のため、非静的オブジェクトメソッドと互換性がありません。HTMLPurifier.autoload.php（またはこのファイルを含むファイル）は使用しないでください。代わりに、コード：spl_autoload_register（array（'HTMLPurifier_Bootstrap'、'autoload'））を独自のオートローダーの後に配置します。

require（）をアドバタイズされたとおりに置き換えるspl_autoload_register(array('HTMLPurifier_Bootstrap', 'autoload'))と、テストは正常に実行されますが、ViewHelperは次のように主張してひどい死を迎えます。

Zend_Log [3707]：ErrorControllerがLogicExceptionをキャッチしました "渡された配列は既存の静的メソッドを指定していません（クラス'HTMLPurifier_Bootstrap'が見つかりません）"

（テストフォルダーの構造は、必要に応じてZendフォルダーの構造とは少し異なります。）

質問

それをいじくり回した後、テストスコープ内にあるかどうかに応じてオートローダーローディングを選択する必要があると思います。

1. トンネルビジョンが原因で表示されない両方の場合に、HTMLPurifierの自動読み込みルーチンを含める別のオプションはありますか？

2. そうでない場合は、テスト環境と本番環境を自分のコード（例：APPLICATION_ENV）で区別する手段を見つける必要がありますか？またはPHPUnitは、定数を設定することで、この恐ろしいハッカーをネイティブにサポートしますか？defined（） 、または同様のシェナニガン？（ここの私のグーグルフーは弱いです！私はおそらくそれを間違っているだけです。）

©これを常に表示するのではなく、html purifier でこれを表示するにはどうすればよいですか©. つまり、html purifier http://htmlpurifier.org/で両方を表示するにはどうすればよいですか?