Очистить строку HTML в Yii
Я пытаюсь очистить строку, чтобы предотвратить атаку XSS, но если строка не имеет тега script, но имеет атрибуты html, строка не очищает.
Пример:
$str = 'http://www.example.com/54f74"onmouseover%3d"alert(1)"style%3d"position%3aabsolute%3bwidth%3a100%25%3bheight%3a100%25%3btop%3a0%3bleft%3a0%3b"54f74';
$purifier = new CHtmlPurifier();
var_dump(
$str,
$purifier->purify($str)
);
результат:
string 'http://www.example.com/54f74"onmouseover%3d"alert(1)"style%3d"position%3aabsolute%3bwidth%3a100%25%3bheight%3a100%25%3btop%3a0%3bleft%3a0%3b"54f74' (length=145)
string 'http://www.example.com/54f74"onmouseover%3d"alert(1)"style%3d"position%3aabsolute%3bwidth%3a100%25%3bheight%3a100%25%3btop%3a0%3bleft%3a0%3b"54f74' (length=145)
Решение
Да, потому что эта строка является допустимым HTML без XSS. Чтобы очистить его, если вы планируете использовать его в атрибуте, вы можете использовать внутреннюю часть HTML Purifier. AttrDef классы, чтобы вручную очистить его. Для URL, вы, вероятно, хотите HTMLPurifier_AttrDef_URI:
$def = new HTMLPurifier_AttrDef_URI();
$config = HTMLPurifier_Config::default();
$context = new HTMLPurifier_Context();
$pure_url = $def->validate($your_url, $config, $context);
Другие решения
Других решений пока нет …