删除图像标签之间的所有空白

Question

我让用户提交了一些文本（包括随机的 html 图片链接），然后我尝试从文本中的图片中创建一个基本的 BBCode [img][/img] 标签。

我目前测试的方式是这样的：

字符串（取自随机论坛）：

After a fair few years of doing the usual lowering, fitting wheels etc,when it comes to car modifying, we spent a couple of years doing Minimoto racing all round the country in the Southern British Minimoto Championship winning the 2006 Production Privateer Championship.<br /> <br /> <img src="http://i2.photobucket.com/albums/y18/moo0484/scan0001.jpg" border="0" class="tcattdimglink" onload="NcodeImageResizer.createOn(this);" alt="" /><br /> <br /> <img src="http://i2.photobucket.com/albums/y18/moo0484/01072007065.jpg" border="0" class="tcattdimglink" onload="NcodeImageResizer.createOn(this);" alt="" /><br />

然后我使用函数替换任何图像属性/将图像标签更改为 bbcode：

function convert($text) {
  $text = preg_replace('/class=".*?"/', '', $text);
  $text = preg_replace('/alt=".*?"/', '', $text);
  $text = preg_replace('/src="/', '', $text);
  $text = preg_replace('/border=".*?"/', '', $text);
  $text = preg_replace('/onload=".*?"/', '', $text);
  $text = str_replace("<img", "[img]", "$text");
  $text = str_replace('">', "[/img]", "$text");
  return nl2br($text);
}

如果标签没有以斜杠结尾，这将非常有效。我可以添加另一个规则：

  $text = str_replace('"/>', "[/img]", "$text");

这会起作用，但是我删除属性的地方仍然留下空白。

所以我的问题是，我可以删除 img 标签之间的空白吗：

  <img />

例如，在 preg_replace 函数中的 .*?替换“”之间的内容。

我可以做类似的事情，但使用 img 标签并删除它们之间的空白吗？

我显然不能只跑：

  $text = preg_replace('/\s+/', '', $text);

因为我需要文本中的空白等。

谢谢！

Answer 1

您应该删除所有空白和胭脂属性，几乎所有属性，尤其是 on* 事件属性，如 onClick、onBlur。将 XSS 攻击添加到 HTML 中的方法太多了。制作将它们全部清除的东西将无法维护，因此如果您想让用户输入 HTML，请使用 htmlpurifier。它很容易初始化到您的代码中，并且有很多选项。

一个简单的替代方法是只提取 img 的 src，然后删除属性并将 src 放回去并制作一串图像，然后使用 strip_tags() 删除所有 HTML，然后将图像连接到文本上。但是它缺少图像的定位。

类似：

<?php 
$html = <<<DEMO
After a fair <script>alert('XSS');</script>few ...
winning the 2006 Production Privateer Championship.<br /> 
<div style="background-image: url(javascript:alert('XSS'))"></div>
<br /> 
<img src="http://i2.photobucket.com/albums/y18/moo0484/scan0001.jpg" border="0" class="tcattdimglink" onload="NcodeImageResizer.createOn(this);" alt="" /><br /> 
<br /> 
text here
<img src="http://i2.photobucket.com/albums/y18/moo0484/01072007065.jpg" border="0" class="tcattdimglink" onload="NcodeImageResizer.createOn(this);" alt="" /><br />
more txt here
DEMO;

$dom = new DOMDocument;
@$dom->loadHTML($html);

$xpath = new DOMXPath($dom);

if (false === ($elements = $xpath->query("//*"))) die('Error');

foreach ($elements as $element) {

    //remove script tags
    if($element->nodeName=='script'){
        $element->parentNode->removeChild($element);
    }

    //remove empty tags but not images
    if (!$element->hasChildNodes() || $element->nodeValue == '') {
        if($element->nodeName != 'img'){
            $element->parentNode->removeChild($element);
        }
    }

    //remove all attributes except links and imgs
    for ($i = $element->attributes->length; --$i >= 0;) {
        $name = $element->attributes->item($i)->name;
        if (('img' === $element->nodeName && 'src' === $name) || ('a' === $element->nodeName && 'href' === $name)){
            continue;
        }
        $element->removeAttribute($name);
    }
}

//put dom together and remove the document body
echo preg_replace('~<(?:!DOCTYPE|/?(?:html|body))[^>]*>\s*~i', '', $dom->saveHTML());

/*
<p>After a fair few ...
winning the 2006 Production Privateer Championship.</p>
<img src="http://i2.photobucket.com/albums/y18/moo0484/scan0001.jpg"> 
text here
<img src="http://i2.photobucket.com/albums/y18/moo0484/01072007065.jpg">
more txt here
*/

虽然只是考虑使用htmlpurifier，但 1990 年代的人也呼吁他们希望 BBCODE 回来使用降价。 ;p

祝你好运