White HTML Filter基于PHP的白名單過濾器

White HTML Filter

簡介

XSS是什么就不介紹了，很多時候因為老板的需求之類的，必須用到UEditor之類的HTML富文本編輯器，這時候XSS防御就很重要了。

很多人會選擇用strip_tags()之類的來去除HTML標記，但是去除了標簽，還有onclick之類的危險屬性。而且過濾了屬性，對于必須通過iframe插入HTML5視頻的情況，還要過濾屬性的值。

一個常見做法是用正則表達式來切分HTML字符串，然后得到多個多維數組，利用黑名單過濾完后再拼接回HTML，這種方法因為解析HTML的方式跟瀏覽器不同，所以很容易被繞過。

這款工具應運而生，使用基于與瀏覽器解析HTML方式一致的標記化算法（The Tokenization Algorithm）的DOMDocument來解析HTML，然后利用白名單來過濾HTML標簽、屬性、乃至屬性值。

使用方法

1、引入

composer?require?lincanbin/white-html-filter

2、使用

use?lincanbin\WhiteHTMLFilter;
?
//跨站腳本白名單過濾
function?XssEscape($html)
{
???$filter?=?new?WhiteHTMLFilter();
???$urlFilter?=?function($url)?{
??????$token?=?parse_url($url);
??????if?(empty($token['scheme'])?||?in_array($token['scheme'],?array('http',?'https'))?===?false)?{
?????????return?'';
??????}
??????$hostWhiteList?=?array(
?????????'www.youtube.com',?'youtube.com',?'www.youtu.be',?'youtu.be',
?????????'player.youku.com',?'v.youku.com',
?????????'video.tudou.com',?'www.tudou.com',
?????????'player.video.qiyi.com',?'open.iqiyi.com',
?????????'imgcache.qq.com',?'v.qq.com',
?????????'static.hdslb.com',
?????????//'www.le.com',
?????????'share.vrs.sohu.com',?'tv.sohu.com',
?????????'player.pptv.com',
?????????'cdn.aixifan.com',
?????????'v.ifeng.com',
?????????'video.sina.com.cn',
?????????'galaxy.bjcathay.com'//CNTV
??????);
??????if?(empty($token['host'])?||?in_array($token['host'],?$hostWhiteList)?===?false)?{
?????????return?'';
??????}
??????return?$url;
???};
?
???$iframeRule?=?array(
??????'iframe'?=>?array(
?????????'src'?=>?$urlFilter,
?????????'width',
?????????'height',
?????????'frameborder',
?????????'allowfullscreen'
??????)
???);
???$filter->config->modifyTagWhiteList($iframeRule);
???$filter->loadHTML($html);
???$filter->clean();
???return?$filter->outputHtml();
}

以上這段代碼表示在默認白名單列表后追加配置，允許iframe標簽的使用，只允許iframe的src、width、height、frameborder、allowfullscreen屬性。

并對src的屬性值進行過濾，使得當iframe的src屬性值的URL的域屬于以上域名列表中的其中之一時，才允許該值出現，否則令src屬性值為空。

更多示例

• 使用方法

• 測試用例

你可以在這里使用GitHub帳號登錄 https://www.94cb.com/t/5280 ，并這個帖子下面回帖對這個庫進行測試。