HTMLPurifier 去除选择标签

Question

我正在使用 HTMLPurifier 来防止 xss。 html 包含各种标签，例如 SELECT、OPTION。但是 HTMLPurifier 删除了 SELECT、OPTION 标签并保留了纯文本。如何允许 SELECT、OPTION 标签。

这里是代码

$html = "<select>
       <option value="1" selected>Test 1</option>
       <option value="2" selected>Test 2</option>
</select>";

$config = \HTMLPurifier_Config::createDefault();
$config->set( 'AutoFormat.RemoveEmpty', true );
$purifier = new \HTMLPurifier( $config );
$cleanHtml = $purifier->purify( $dirtyHTML );

代码返回'Test 1Test 2'

Answer 1

<select> 和 <option> 是表单元素。由于表单可以使网络钓鱼变得微不足道，HTML Purifier 以其“默认安全”的心态，甚至不需要加载表单的 HTML 定义，因此您不能简单地通过（仅）设置 HTML.AllowedElements 来启用表单。

但是，HTML.Trusted 设置允许您启用表单，但这会完全启用它们。有关更改行为的一些讨论，请参阅the thread "Anyone have a config that allows form elements?" on the HTML Purifier discussion forum，例如：

表单只允许有一个空动作；他们总是服从自己。

默认情况下不是：您必须编写代码。

如何启用它？

可能最简单的做法是从HTMLPurifier/HTMLModule/Forms.php 复制粘贴定义，然后适当地调整它们。请注意，这些定义假定用户受信任，因此请仔细检查您允许的所有字段。