問題タブ [htmlpurifier]

みんな！当然、私はまだ HTML Purifier と戦っています…</p>

したがって、私の /config/purifier.php は次のようになります。

また、HTML Purifier は Security::clean_xss() メソッドをオーバーロードして独自のフィルターを使用します。

データ サニテーション用に 2 つのヘルパー関数を作成しました: clean_whitelist() は、構成ファイルの HTML.Allowed 設定で許可されていないものを取り除きます。すべてのタグを削除し、ignore として渡されたフィールドを無視する clean_all()

clean_whitelist() は意図したとおりに機能しますが、clean_all は引き続きタグを許可します。Kohana::config('purifier')を呼び出した後にの新しいロードを var_dump$config->setすると、HTML.Allowed => ''…</p> を表示するファイルが表示さ れるため、完全にはわかりません

実行時に作成した構成ファイルを使用するのではなく、ホワイトリストを使用し続ける理由についてのアイデアはありますか?

いつものように、貢献してくれた人に感謝します!

代わりに、html purifier が自分の&サインを に&変えないようにするにはどうすればよいでしょうか?&

関数インクルードの 1 つで次のエラーが発生します。

パスをコーディングすれば、この問題を修正できます

しかし、インクルードの目的を損なうたびに関数インクルード内のパスを再コーディングすることなく、Web サイトのさまざまなレベルのフォルダーにインクルード ファイルを表示したいと考えています。毎回パスを再コーディングすることなく、これを機能させる方法はありますか? フルパスを含める方法はありますか?

私はこの構成を使用します：

しかし、このような埋め込みタグはすべて削除されています。

埋め込みタグを削除しないで HTMLPurifier を取得する方法はありますか?

HTML Purifier フィルター内で画像を許可したいと考えています。残念ながら、それらはまだフィルタリングされています。このコードのどこが間違っていますか?

ご協力いただきありがとうございます。

WYSIWYG (CK エディター) からのユーザー入力で HTMLPurifier を実行しようとしていますが、画像が壊れています。

フィルタリングされていない入力:

デフォルト設定で浄水器を実行した後：

構成設定を変更してみました。しかし、私はsrcが保存されることはありません。何かご意見は？

これは、HTMLPurifier で許可したいタグの特別な組み合わせのようなものですが、組み合わせを機能させることができないようです。

スクリプト タグを機能させることはできますが、埋め込みタグが削除されます (スクリプト タグを HTML.Trusted = true で有効にします)。埋め込みタグを元に戻すと、スクリプト タグが削除されます (HTML.Trusted を削除します)。以下は私の設定です：

以下を追加してみましたが、事態はさらに悪化しました。

また、何があってもiframeを機能させることができないようです。追加してみました：

コンボ全体を機能させるための助け、またはオブジェクト/パラメーターと埋め込みを含むスクリプトタグでさえ、大いに感謝します!!!

そうそう、これは明らかにすべてのユーザー向けではなく、「特別な」ユーザー向けです。

ありがとう！

PS - http://htmlpurifier.org/docs/enduser-customize.htmlにリンクしないでください。

アップデート

ここのスレッドの下部に iframe を追加するための解決策を見つけました: http://htmlpurifier.org/phorum/read.php?3,4646

現在の構成は次のとおりです。

アップデートへのアップデート

HTMLPurifier フォーラムでの私のコメントに問題がある場合は、メソッドが次のようになることを意味している可能性があります。

更新 2: http://htmlpurifier.org/phorum/read.php?3,5088,5113著者はすでに問題を特定しています。

更新: この問題はバージョン 4.2.0 に限定されているようです。4.1.0 にダウングレードしましたが、動作します。いつもお世話になっております。パッケージの作成者に通知しました。

次のようなページをスクレイピングしています。

http://form.horseracing.betfair.com/horse-racing/010108/Catterick_Bridge-GB-Cat/1215

W3C の検証によれば、有効な XHTML Strict です。

次に、http://htmlpurifier.org/を使用して HTML を浄化してから DOMDocument に読み込みます。ただし、1 行のコンテンツしか返していません。

出力：

コード：

ところで、このドメインのすべてのページのタイトルを残すと言うのと同じように、別のサイトから提供されたデータに対しても機能します。

関連リンク

• 次のコードが実行されると、HTMLPurifier が終了します(同様のトピックに関する未回答の質問)

XSS 攻撃に不正な形式のタグが使用されているというコメントを読みました。これらに対してどのようにサニタイズする必要がありますか。HTMLPurifier のようなライブラリを使用する場合、これは作業の一部として取り込まれますか? それともこれは独立したものですか？人の話はあまり聞きません。

私は$this->escape()zend ビューで多くのことを行います。XSSを防ぐにはこれで十分ですか？

Zend Framework の外に HTMLPurifier があります。Zend とHTMLPurifier はどう違うのだろうか$this->escape()。