Bereinigen von HTML-input

Ich überlege, hinzufügen von ein rich-text-editor zu ermöglichen, eine nicht-Programmierer zu ändern, den Aspekt des Textes. Jedoch ein Problem ist, dass es möglich ist, verzerrt das layout einer Seite gerendert, wenn das markup ist falsch. Was ist eine gute leichte Weise zu bereinigen html?

InformationsquelleAutor James P. | 2011-04-01
  1. 18

    Haben, müssen Sie entscheiden zwischen gut und leicht. Die empfohlene Wahl ist "HTMLPurifier", weil es-keine-Aufregung, sichere Standardeinstellungen. Als schnellere alternative ist es oft empfohlen, um 'htmLawed'.

    Siehe auch dieser Recht objektiven überblick aus der HTMLPurifier Autor: http://htmlpurifier.org/comparison

    • Danke. Ich habe HTMLPurifier arbeiten. Die Dokumentation ist nicht einfach zu Lesen, aber ich schaffte es, es zu filtern einige rich-text auf ein minimum angepasst und das charset iso zu vermeiden, Akzente, erste entfernt.
    • Jemand, der der Auffassung ist htmLawed: der erste Blick auf die code - du wirst Weinen. Es gibt keine alternative zu HTMLPurifier in diesem moment. Nur um Ihre Zeit zu sparen
    • Was ist falsch an dem code? Nur weil Sie es nicht verstehen macht es nicht schlecht. htmLawed ist einfach zu viel schneller, kleiner und effizienter, die HTMLPurifier nicht zu berücksichtigen, weil es nicht geschrieben wurde, wie Sie möchten.
    • Die HTMLLawed Autor scheint kein Gefühl der Sicherheit. Die website und das forum ist nicht über HTTPS, und die website fordert Sie zum deaktivieren der Komponist ist secure-http, wie er nicht sein arsed zu bewegen, zu HTTPS oder ein Git-repository. Ich würde nicht Vertrauen alles, was der Sicherheit-im Zusammenhang mit dieser person.
    InformationsquelleAutor mario
  2. 6

    Ich mag HTML Purifier, die können Sie angeben, welche tags und attirbutes dürfen in Ihren HTML-code ein -- und erzeugt gültiges HTML.

    InformationsquelleAutor Pascal MARTIN
  3. 2

    Benutzung von BB-codes (oder wie hier auf SO), ansonsten sind die Chancen sehr gering.
    Beispiel Funktion...

    function parse($string){

    $pattern = array(
    "/\[url\](.*?)\[\/url\]/",
    "/\[img\](.*?)\[\/img\]/",
    "/\[img\=(.*?)\](.*?)\[\/img\]/",
    "/\[url\=(.*?)\](.*?)\[\/url\]/",
    "/\[red\](.*?)\[\/red\]/",
    "/\[b\](.*?)\[\/b\]/",
    "/\[h(.*?)\](.*?)\[\/h(.*?)\]/",
    "/\[p\](.*?)\[\/p\]/",    
    "/\[php\](.*?)\[\/php\]/is"
    );

    $replacement = array(
    '<a href="\\1">\\1</a>',
    '<img alt="" src="\\1"/>',
    '<img alt="" class="\\1" src="\\2"/>',
    '<a  target="_blank" href="\\1">\\2</a>',
    '<span style="color:#ff0000;">\\1</span>',
    '<span style="font-weight:bold;">\\1</span>',
    '<h\\1>\\2</h\\3>',
    '<p>\\1</p>',
    '<pre><code class="php">\\1</code></pre>'
    );

    $string = preg_replace($pattern, $replacement, $string);

    $string = nl2br($string);

    return $string;

}

    ...

    echo parse("[h2]Lorem Ipsum[/h2][p]Dolor sit amet[/p]");

    Ergebnis...

    <h2>Lorem Ipsum</h2><p>Dolor sit amet</p>

    Bereinigen von HTML-input

    Oder benutzen Sie einfach das HTML Purifier 🙂

    • Guter Vorschlag. Ich Frage mich, warum eine animierte Drache erschien, wenn upvoting Sie aber nicht :p .
    • Es ist April Fools, und es ist ein Einhorn.
    • Um BBCode zu sichern, würden Sie haben, um es durch eine Reinigungsanlage wie HTMLPurifier eh. Es gibt wirklich keinen Punkt. Naiv BBCode ist weit offen für exploits: überlegen Sie, was der input-string [img]http://picture.of.a/pony.png" onload="execute(); arbitrary(); javascript();[/img] erzeugt werden würde, wie mithilfe der oben genannten parser.
    • Yup, definitiv nicht für die öffentliche Nutzung, ich ignorierte Aspekt Sicherheit ganz, ich dachte, es war für den privaten Gebrauch. @James P., HTMLPurifier verwenden 😉
    InformationsquelleAutor Dejan Marjanovic
  4. 1

    HTML Purifier und htmLawed sind gut. htmLawed hat den Vorteil einer viel kleineren Stellfläche und hohe Konfigurierbarkeit. Neben dem standard-Werk von balancing-tags, filtern bestimmte HTML-tags oder deren Attribute oder Attribut-Inhalt (durch weiße oder schwarze Listen), etc., es ermöglicht auch die Verwendung von benutzerdefinierten Funktionen.

    • + schöne Dinge wie $GLOBALS['C'] = $C;
    InformationsquelleAutor user594694
Schreibe einen Kommentar