如何解决网页内容安全问题?使用rhukster/dom-sanitizer可以!

385

可以通过以下地址学习 composer学习地址

在开发一个允许用户提交网页内容的项目时,确保这些内容的安全性是至关重要的。我遇到的一个具体问题是,用户可能会在 html、svg 或 mathml 文件中嵌入恶意代码,导致潜在的安全漏洞。为了解决这个问题,我尝试了多种方法,但效果不尽如人意。最终,我发现了 rhukster/dom-sanitizer 这个库,它专为 php 7.4+ 设计,能够有效地清理和过滤危险的标签和属性。

安装这个库非常简单,只需使用 Composer:

composer require rhukster/dom-sanitizer

rhukster/dom-sanitizer 借鉴了 JavaScript 库 DOMPurify 的标签和属性列表,并使用 PHP 的 DOMDocument 来解析和过滤 DOM。这个库提供了多种选项,可以根据需要定制清理过程。例如,你可以选择是否移除命名空间、PHP 标签、HTML 标签、xml 标签,以及是否压缩输出。

使用这个库,你可以轻松地清理 HTML、SVG 和 MathML 内容。例如,要清理 HTML 内容,你可以这样做:

require 'vendor/autoload.php';  use RhuksterDomSanitizerDOMSanitizer;  $input = file_get_contents('bad.html');  $sanitizer = new DOMSanitizer(DOMSanitizer::HTML); $output = $sanitizer->sanitize($input, [     'remove-html-tags' => false, ]);

如果你专门处理 SVG 内容,可以这样做:

require 'vendor/autoload.php';  use RhuksterDomSanitizerDOMSanitizer;  $input = file_get_contents('bad.svg'); $sanitizer = new DOMSanitizer(DOMSanitizer::SVG); $output = $sanitizer->sanitize($input);

对于 MathML 内容,清理过程同样简单:

require 'vendor/autoload.php';  use RhuksterDomSanitizerDOMSanitizer;  $input = file_get_contents('mathml-sample.xml'); $sanitizer = new DOMSanitizer(DOMSanitizer::MATHML); $output = $sanitizer->sanitize($input, [     'compress-output' => false, ]);

rhukster/dom-sanitizer 还允许你自定义允许或不允许的标签和属性。你可以使用以下方法来修改这些设置:

public function addAllowedTags(array $allowed_tags): void  public function addAllowedAttributes(array $allowed_attributes): void  public function addDisallowedTags(array $disallowed_tags): void  public function addDisallowedAttributes(array $disallowed_attributes): void  public function getAllowedTags(): array  public function setAllowedTags(array $allowed_tags): void  public function getAllowedAttributes(): array  public function setAllowedAttributes(array $allowed_attributes): void  public function getDisallowedTags(): array  public function setDisallowedTags(array $disallowed_tags): void  public function getDisallowedAttributes(): array  public function setDisallowedAttributes($disallowed_attributes): void

使用 rhukster/dom-sanitizer 后,我的项目在处理用户提交的内容时变得更加安全和高效。这个库不仅解决了我的安全问题,还提供了高度的灵活性,使得自定义清理过程变得简单而有效。如果你在处理网页内容时遇到类似的安全问题,强烈推荐你尝试使用 rhukster/dom-sanitizer。

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
开发工具
# php# html# JavaScript# composer# xml# 命名空间# dom# mathml
喜欢就支持一下吧
点赞5 分享
站长的头像-小浪学习网
Certd-开源免费的自动化SSL证书管理工具-小浪学习网
Certd-开源免费的自动化SSL证书管理工具
Certd-开源免费的自动化SSL证书管理工具
2个月前 64
51虚拟机V1.3vip永久,带有许多功能-小浪学习网
51虚拟机V1.3vip永久,带有许多功能
51虚拟机V1.3vip永久,带有许多功能
7个月前 58
java反序列化引发的远程代码执行漏洞原理分析-小浪学习网
java反序列化引发的远程代码执行漏洞原理分析
java反序列化引发的远程代码执行漏洞原理分析
2年前 56
归纳整理MySQL半同步复制配置-小浪学习网
归纳整理MySQL半同步复制配置
归纳整理MySQL半同步复制配置
1个月前 56
在Ubuntu 下用vim 搭建python 环境 配置-小浪学习网
在Ubuntu 下用vim 搭建python 环境 配置
在Ubuntu 下用vim 搭建python 环境 配置
2年前 54
关于实时同步的详细介绍-小浪学习网
关于实时同步的详细介绍
关于实时同步的详细介绍
2年前 54
相关推荐
微信扫码登录后出现空白小窗口及主窗口未刷新,该如何解决?-小浪学习网
微信扫码登录后出现空白小窗口及主窗口未刷新,该如何解决?
微信扫码登录后出现空白小窗口及主窗口未刷新,该如何解决?
2个月前 54
Yii2如何使用Composer-小浪学习网
Yii2如何使用Composer
Yii2如何使用Composer
12个月前 52
WordPress网站如何选购合适的托管服务?-小浪学习网
WordPress网站如何选购合适的托管服务?
WordPress网站如何选购合适的托管服务?
2个月前 52
12个开发中常用的VSCode插件分享-小浪学习网
12个开发中常用的VSCode插件分享
12个开发中常用的VSCode插件分享
9个月前 52
Laravel开发:如何使用Laravel Testing进行端到端测试?-小浪学习网
Laravel开发:如何使用Laravel Testing进行端到端测试?
Laravel开发:如何使用Laravel Testing进行端到端测试?
4个月前 51
如何让shell访问正在运行的Docker容器-小浪学习网
如何让shell访问正在运行的Docker容器
如何让shell访问正在运行的Docker容器
2年前 51
默认头像
标题
标题
鼠标事件黑神话:悟空鸿蒙魔术常量魔兽世界高效开发高德地图高可用架构高可扩展性验证码生成驱动更新驱动安装风格字符串预处理器音频编辑面向对象静态多态性隐藏文件夹隐式转换隐式类型转换
Certd-开源免费的自动化SSL证书管理工具-小浪学习网
64人已阅读
Certd-开源免费的自动化SSL证书管理工具
TOP1
51虚拟机V1.3vip永久,带有许多功能-小浪学习网
51虚拟机V1.3vip永久,带有许多功能
7个月前58人已阅读
TOP2
java反序列化引发的远程代码执行漏洞原理分析-小浪学习网
java反序列化引发的远程代码执行漏洞原理分析
2年前56人已阅读
TOP3
归纳整理MySQL半同步复制配置-小浪学习网
归纳整理MySQL半同步复制配置
1个月前56人已阅读
TOP4
关于实时同步的详细介绍-小浪学习网
关于实时同步的详细介绍
2年前54人已阅读
TOP5