White HTML Filter

簡(jiǎn)介

XSS是什么就不介紹了，很多時(shí)候因?yàn)槔习宓男枨笾惖?，必須用到UEditor之類的HTML富文本編輯器，這時(shí)候XSS防御就很重要了。

很多人會(huì)選擇用strip_tags()之類的來(lái)去除HTML標(biāo)記，但是去除了標(biāo)簽，還有onclick之類的危險(xiǎn)屬性。而且過(guò)濾了屬性，對(duì)于必須通過(guò)iframe插入HTML5視頻的情況，還要過(guò)濾屬性的值。

一個(gè)常見(jiàn)做法是用正則表達(dá)式來(lái)切分HTML字符串，然后得到多個(gè)多維數(shù)組，利用黑名單過(guò)濾完后再拼接回HTML，這種方法因?yàn)榻馕鯤TML的方式跟瀏覽器不同，所以很容易被繞過(guò)。

這款工具應(yīng)運(yùn)而生，使用基于與瀏覽器解析HTML方式一致的標(biāo)記化算法（The Tokenization Algorithm）的DOMDocument來(lái)解析HTML，然后利用白名單來(lái)過(guò)濾HTML標(biāo)簽、屬性、乃至屬性值。

使用方法

1、引入

composer?require?lincanbin/white-html-filter

2、使用

use?lincanbin\WhiteHTMLFilter;
?
//跨站腳本白名單過(guò)濾
function?XssEscape($html)
{
???$filter?=?new?WhiteHTMLFilter();
???$urlFilter?=?function($url)?{
??????$token?=?parse_url($url);
??????if?(empty($token['scheme'])?||?in_array($token['scheme'],?array('http',?'https'))?===?false)?{
?????????return?'';
??????}
??????$hostWhiteList?=?array(
?????????'www.youtube.com',?'youtube.com',?'www.youtu.be',?'youtu.be',
?????????'player.youku.com',?'v.youku.com',
?????????'video.tudou.com',?'www.tudou.com',
?????????'player.video.qiyi.com',?'open.iqiyi.com',
?????????'imgcache.qq.com',?'v.qq.com',
?????????'static.hdslb.com',
?????????//'www.le.com',
?????????'share.vrs.sohu.com',?'tv.sohu.com',
?????????'player.pptv.com',
?????????'cdn.aixifan.com',
?????????'v.ifeng.com',
?????????'video.sina.com.cn',
?????????'galaxy.bjcathay.com'//CNTV
??????);
??????if?(empty($token['host'])?||?in_array($token['host'],?$hostWhiteList)?===?false)?{
?????????return?'';
??????}
??????return?$url;
???};
?
???$iframeRule?=?array(
??????'iframe'?=>?array(
?????????'src'?=>?$urlFilter,
?????????'width',
?????????'height',
?????????'frameborder',
?????????'allowfullscreen'
??????)
???);
???$filter->config->modifyTagWhiteList($iframeRule);
???$filter->loadHTML($html);
???$filter->clean();
???return?$filter->outputHtml();
}

以上這段代碼表示在默認(rèn)白名單列表后追加配置，允許iframe標(biāo)簽的使用，只允許iframe的src、width、height、frameborder、allowfullscreen屬性。

并對(duì)src的屬性值進(jìn)行過(guò)濾，使得當(dāng)iframe的src屬性值的URL的域?qū)儆谝陨嫌蛎斜碇械钠渲兄粫r(shí)，才允許該值出現(xiàn)，否則令src屬性值為空。

更多示例

• 使用方法

• 測(cè)試用例

你可以在這里使用GitHub帳號(hào)登錄 https://www.94cb.com/t/5280 ，并這個(gè)帖子下面回帖對(duì)這個(gè)庫(kù)進(jìn)行測(cè)試。