您使用什么样的 HTMLPurifier 设置来净化 CSS？

Question

我正在构建一个应用程序，允许用户为自己的个人资料输入自定义 CSS（有点像 MySpace、Friendster 或 Blogger）。

问题是我很难找到一种通过 CSS 净化 XSS 攻击的方法。我尝试使用 HTMLPurifier，但它不起作用。一个例子：

html {
    expression: alert('xss');
}

body {
    background-color: #FFF;
}

HTMLPurifier 允许这样做。

我需要对 HTMLPurifier 使用任何设置才能使其无效吗？

谢谢！

更新
表达式：是通过 CSS 推送漏洞的唯一方法吗？如果是这样，正则表达式会比使用 HTMLPurifier 更有效吗？

Answer 1

HTML Purifier 对 HTML 输入进行操作，而不是 CSS。话虽这么说，您可能可以通过将样式表包装在样式标签中并打开 %Filter.ExtractStyleBlocks 来欺骗它在 CSS 样式表上工作。您需要安装 CSS Tidy。

更新。不。提供 CSS 有效负载的方法有很多种，仅仅搜索表达式是不够的。

Answer 2

$str = preg_replace("/expression[\s:\]+/", '', $str) 将删除表达式字符串。

在我看来，最好简单地“禁止”或以其他方式标记试图将这些内容输入到您网站的用户。
不知道使用 CSS 来破坏浏览器的其他方法，也许@Edward 可以在这里提供帮助:)