当前位置：文江博客话题详情

HTMLPurifier 与 Kses

发布于 2024-10-30 01:11:40 字数 52 浏览 3 评论 0原文

两者的优点/缺点是什么？

您会使用其中哪一个来过滤用户在网站上发布的评论？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

风为裳 2024-11-06 01:11:40

kses 已经有 7 年没有更新了——我认为这足以立即将其从图片中删除。

然而，真正的问题是：您需要接受用户评论中的 HTML 输入吗？

因为如果不需要，问题的正确解决方案是使用 htmlspecialchars 在将注释回显为 HTML 之前，就是这样。不需要更多。

即使您需要允许用户格式化他们的评论，也有各种替代标记语言（BBCode、MarkDown、Textile——这就是 SO 在您键入时使用的语言），它们都被广泛使用并且足以完成任务。

考虑一下，您甚至可以在不接受 HTML 输入的情况下构建维基百科。

回复收藏 0 原文

沩ん囻菔务 2024-11-06 01:11:40

给我建议的一篇好文章是：

HTML 清理：细节中的魔鬼（和漏洞）

我在几乎所有项目中都使用 HTMLPurifier，因为有了缓存，性能不会受到太大影响。

回复收藏 0 原文

拥醉 2024-11-06 01:11:40

我最近创建了 Drupal XSS 过滤器的端口。它是 Kses 的高级版本。
https://github.com/ymakux/xss

$filter = new Filter();

// List of allowed protocols
$allowed_protocols = array('http', 'ftp', 'mailto');

// List of allowed tags you want to keep in text  
$allowed_tags = array('a', 'i', 'b', 'em', 'span', 'strong', 'ul', 'ol', 'li', 'table', 'tr', 'td', 'thead', 'th', 'tbody');

$filter->addAllowedProtocols($allowed_protocols);
$filter->addAllowedTags($allowed_tags);

// Parse string
$filtered_string = $filter->xss($string);

I recently created a port of Drupal XSS filter. It's advanced version of Kses.
https://github.com/ymakux/xss

$filter = new Filter();

// List of allowed protocols
$allowed_protocols = array('http', 'ftp', 'mailto');

// List of allowed tags you want to keep in text  
$allowed_tags = array('a', 'i', 'b', 'em', 'span', 'strong', 'ul', 'ol', 'li', 'table', 'tr', 'td', 'thead', 'th', 'tbody');

$filter->addAllowedProtocols($allowed_protocols);
$filter->addAllowedTags($allowed_tags);

// Parse string
$filtered_string = $filter->xss($string);

回复收藏 0 原文

~没有更多了~