問題タブ [htmlpurifier]

ユーザーがフォームフィールドにhtmlを書き込めるようにしたいが、javascriptは除外したい。これを行う簡単なコードやライブラリはありますか？

HTML Puriferの使用を検討しましたが、探している方法で実行するようにHTMLPuriferを構成する方法がよくわかりません。許可しているすべてのタグをHTML.allowedに指定する必要があると思います。網羅的なリストを思いつくこともできたと思いますが、もっと簡単な方法があれば、それをしたいと思います。

許可されたタグを設定し、最終的にHTMLPurifierで次のような属性を設定できることを知っています。

$cfg->set('HTML.Allowed', 'a[href|title],'b','em','i','strike');

しかし、特定の事前定義された値と一致しない属性値を禁止するにはどうすればよいですか？

たとえば、div+クラスタグを許可したい場合があります。

$cfg->set('HTML.Allowed', 'div[class],a[href|title],'b','em','i','strike');

ただし、クラスがabc、def、またはxyzの場合のみ

<strike>、<del>および<datetime>タグについて次のような警告が表示されます。

警告: 要素 'strike' はサポートされていません (これを実装する方法については、サポート フォーラムを参照してください) ...

要素 'del' の属性 'datetime' はサポートされていません (これを実装する方法については、サポート フォーラムを参照してください)

では、どうすればそれらを実装できますか?

または、フォーラムのどこを見ればよいのでしょうか?

ユーザーが私のサイトをハッキングすることを許可したのは何だろうと思っていました。彼らは私のユーザー名、個人情報、パスワードを変更しました。誰かがそれが何であったかについていくつかの提案をしてもらえますか. PHP MySQL と HTMLPURIFIER を使用しています。

これがログインスクリプトです。

HTML 電子メールは複雑な獣です。何を (送信者として) 送信し、何を (受信者として) 表示するかを決定するのは難しく、潜在的に危険です。

受信者側には、ウェブメールと通常の電子メール クライアントがあります。私の目的のために、「ウェブメール」とは、それ自体が HTML である何かの一部として HTML 電子メールを表示するものと見なし、通常の電子メール クライアントとは、HTML 電子メールを別のコンテキストで表示するもの (例えば、OS およびプログラム固有の GUI)。

<head>電子メールの HTML ヘッダー ( 、<title>、<meta>、...)を Web メールで処理するにはどうすればよいですか?
実際の標準または事実上の標準として、どこかに仕様はありますか?

私が質問した動機は、HTML Purifierを使用して HTMLをサニタイズし、そのCore.CollectErrors機能が変更を報告した場合、それらが報告されることです。この「報告」は必要であり、イライラさせられます。報告されたエラーの一部は、重要ではないものとして除外していますが、HTML ヘッダーには大きなハードルがあります。

<link>誰かが電子メールで使用する可能性があるため、削除します。(HTML Purifier は、完全なドキュメントではなく、HTMLフラグメントを対象としています)

<link>HTML 電子メールのようなものを使用したいという要望は確かに存在するよう<meta>で、HTML ヘッダー (Outlook など) でタグを送信する電子メール クライアントはたくさんありますが、実際にはどのように処理されているのでしょうか? それらを黙って削除し (これは、私たちの目的では「互換性を損なわない変更」を意味します)、問題が発生した場合は送信側を非難することは安全ですか? それは合理的ですか？誰かが何らかの方法でこれを決定したことがありますか? 私のgoogle-fuは弱いです。:(

ローカルで作成した HTML がいくつかあり、それを HTML purifier で実行したいと考えています。これは完全に私が生成したものなので、XSS の脆弱性がないことはわかっています。purifier で実行しようとしていますが、何を試しても href='javascript:myFunc()' が解析されます。

私の現在の設定は次のとおりです。

これはまったく機能していません - すべての JavaScript が取り除かれています。

さまざまな HTML Purifier 構成設定をすべて調べましたが、必要なものが見つかりません。答えはありますか？

前もって感謝します

HTMLPurifier に HTML5 ルールセットを追加する簡単な方法はありますか?

HP は、次の方法で新しいタグを認識するように構成できます。

ただし、これは明らかに少し手間がかかります。登録する必要のある新しい HTML5 タグと属性がたくさんあるためです。また、新しいグローバル属性は、既存の HTML 4 タグと組み合わせることもできます。(コアルールを拡張する方法をドキュメントから判断するのは困難です)。では、新しいおよび更新されたタグ + 属性 + コンテキスト構成 (インライン/ブロック/空/フロー/..) を HTMLPurifierにフィードするための、より便利な構成フォーマット/配列構造はありますか?

もちろん、すべての新しい HTML5 タグが無制限に許可されるわけではありません。HTMLPurifier はコンテンツ フィルタリングに関するものです。値の制約を定義することは、それがどこにあるかです。--<canvas>たとえば、ユーザー コンテンツに表示される場合は、それほど大きな問題ではないかもしれません。Javascript (HP は既に除外しています) がなければ、せいぜい役に立たないからです。しかし、他のタグや属性は望ましくない場合があります。そのため、タグとそれに関連する属性を有効/無効にするには、柔軟な構成構造が不可欠です。

（私はいくつかの研究を更新する必要があると思います...）。しかし、HP の構成に適した実用的な概要/仕様はまだありません (XML DTD はそうではありません)。

• http://simon.html5.org/html-elements
• http://www.w3.org/TR/html5-diff/#new-elements
• http://www.w3.org/TR/html5-diff/#new-attributes

(ええと、HTML5 はもはやドラフトではありません。)

必要に応じて HTMLPurifier をセットアップしようとしています。起動して実行していますが、箱から出してすぐにすべてのフォーマットが削除されます。ドキュメントを詳しく調べてみましたが、それは欲求不満の練習でした. プログラムのセキュリティ面のみを実装し、すべてのリッチ テキスト スタイリングなどを許可する簡単な構成オプションはありますか。YUI RTE がスタイリングのために出力をマークアップする方法が正確にはわかりません。そのため、単純にホワイトリストを作成して作成します非常に時間がかかる可能性があり、purifier のドキュメントと YUI のドキュメントの両方に目を通す必要があります。すべて単純なタスクです。この種のもの、または少なくとも正しい方向へのポイントのために、事前に作成された構成を持っている人はいますか? ありがとう。

YUIリッチテキストエディタの簡単な実装があります。フォント、フォントサイズ、太字、下線、斜体、取り消し線、背景色、テキストの色、順序付きおよび順序なしのリスト、img、リンクボタンを使用できますが、HTMLPurifierは「ボックス」は、一部の機能のみを許可します。太字、斜体、順序付きおよび順序なしのリスト、およびリンクを許可します。他のものはありません。誰かが、これらのことを可能にし、私ができる限りのセキュリティを維持するHTMLPurifierの構成の方向に私を向けることができますか？私はドキュメントを掘り下げてみましたが、それは-まあ、それが世界で最も具体的なドキュメントではなかったとだけ言っておきましょう。昨夜、魔法の引用符を変更するように指示された助けがありましたが、それは問題ではありませんでした。助けてくれてありがとう。