使用 PHP 清理 HTML5（防止 XSS）

Question

我正在使用 HTML5 和 Javascript 构建所见即所得的编辑器。 我将允许用户通过 WYSIWYG 发布纯 HTML，因此必须对其进行清理。

保护网站免受跨站脚本 (XSS) 攻击等基本任务即将到来，因为没有最新的 PHP 净化和过滤软件。

HTML Purifier 目前不支持 HTML5，整体状况看起来很糟糕（不会很快支持 HTML5）。

那么我应该如何使用 PHP（后端）清理不受信任的 HTML5 呢？

目前的选项...

• HTML Purifier（缺少新的 HTML5 标签、数据属性等）
• 使用 strip_tags() 和 Tidy 或 PHP 的 DOM 类/函数实现自己的净化器
• 使用一些“随机”的 Tidy 实现，例如 http://eksith.wordpress.com/2013/11/23/whitelist-html-sanitizing-with-php/
• Google Caja（Javascript/云）
• htmLawed（HTML5 支持测试版）

还有其他选择吗？ PHP 会死吗？ ;)

Answer 1

PHP 提供解析方法来防止代码 PHP/SQL 注入（即mysql_real_escape_string()）。这不是 HTML/CSS/JavaScript 的情况。为什么会这样？

首先：HTML/CSS/Javascript 的唯一目的是显示信息。您可以根据自己的要求接受或拒绝 HTML 的某些元素。

其次：由于 HTML/CSS/JS 元素的数量非常多（也在不断增加），因此无法尝试控制 HTML。你不能指望一个实用的解决方案。

这就是为什么我建议采用自上而下的解决方案。 我建议开始限制一切，然后只允许一定数量的标签。 一个很好的基础可能是使用BBCdode，它很受欢迎。如果您想“解锁”除 BBCode 之外的其他特定标签，您可以随时添加一些。

这就是类似 BBCode 的脚本在论坛和网站上流行的原因（包括堆栈溢出）。 WISIGIG 编辑器专为管理员/内部使用而设计，因为您不希望您的网站管理员注入不良内容。

自下而上的方法注定会失败。 HTML sanitizer 面临指数级的复杂性，并且不保证任何事情。

---

编辑 1

---

你说这是一个卫生问题，而不是前端问题。我不同意，因为您无法处理所有当前和未来的 HTML 实体，您最好将其限制在前端级别以 100% 确定。

这就是说，也许以下是适合您的解决方案：

1. 您可以通过对所有实体进行条带化来清理您的代码 使用 PHP 的 strip_tags() 的白名单中的除外。
2. 您还可以删除所有剩余的标签属性（属性） 通过使用 PHP 的 preg_replace() 和一些正则表达式。

---

$string = "put some very dirty HTML here.";
$string = strip_tags($string, '<p><a><span><h1><li><ul><br>');
$string = preg_replace("/<([b-z][b-z0-9]*)[^>]*?(\/?)>/i",'<$1$2>', $string);
echo $string;

---

这将返回您的净化文本。

注意：我已排除标记的属性删除，因为您可能仍希望保留 href="" 属性。因此[b-z][B-Z] 正则表达式。

Answer 2

我相信理想的是使用组合：

  mysql_real_escape_string(addslashes($_REQUEST['data']));

写入时

和

   stripslashes($data) 

阅读总是对我有用，我认为它比

  htmentities($data) on write

和

  html_entity_decode($data) on read