Il n'y a aucune garantie avec ceci (comme ci-dessous) mais j'ai essayé de faire ma solution légère parce que le purificateur de HTML (http://htmlpurifier.org) est un peu énorme pour mon objectif minuscule. Mon but est de prévenir XSS et rien de plus si le résultat des tentatives XSS sera beaucoup de choses sales pour ce code mais je pense qu'il sera en sécurité:
<?
//href="javascript:
//style="....expression
//style="....behavior
//<script
//on*="
$str = '
asd
<a STyLE="asd; expression" hRef=" javascript:" onx="asd">asd</a>
asd
<code><a href="javascript:">asd</a></code>
<scr<script></script>ipt ... >asd</script>
<a style="hey:good boy;" href="javascript:">asd</a>';
function stripteaser($str, $StripHTMLTags = true, $AllowableTags = NULL) {
$str = explode('<code>', $str);
$codes = array();
if (count($str) > 1) {
foreach ($str as $idx => $val) {
$val = explode('</code>', $val);
if (count($val) > 1) {
$uid = md5(uniqid(mt_rand(), true));
$codes[$uid] = htmlentities(array_shift($val), ENT_QUOTES, 'UTF-8');
$str[$idx] = "##$uid##" . implode('', $val);
}
}
}
$str = implode('', $str);
while (stripos($str, '<script') !== false) {
$str = str_ireplace('<script', '<script', $str);
}
$rptjob = function(&$str, $regexp) {
while (preg_match($regexp, $str, $matches)) {
$str = str_ireplace($matches[0], htmlentities($matches[0], ENT_QUOTES, 'UTF-8'), $str);
}
};
$rptjob($str, '/href[\s\n\t]*=[\s\n\t]*[\"\'][\s\n\t]*(javascript:|data:)/i'); //href = "javascript:
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\"][^\"]*expression/i'); //style = "...expression
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\'][^\']*expression/i'); //style = '...expression
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\"][^\"]*behavior/i'); //style = "...behavior
$rptjob($str, '/style[\s\n\t]*=[\s\n\t]*[\'][^\']*behavior/i'); //style = '...behavior
$rptjob($str, '/on\w+[\s\n\t]*=[\s\n\t]*[\"\']/i'); //onasd = "
if ($StripHTMLTags)
$str = strip_tags($str, $AllowableTags);
foreach ($codes as $idx => $code) {
$str = str_replace("##$idx##", $code, $str);
}
return $str;
}
echo stripteaser($str);
exit;
?>
: D code sale pour cette lune home et ... Cependant, ce n'est pas un bon travail (beaucoup de temps que les conditions prennent un peu de temps CPU), mais c'est mieux qu'un autre composant énorme comme le purificateur html pour mon petit objectif.
RÉSULTAT SERA:
asd
<a STyLE="asd; expression" hRef=" javascript:" onx="asd">asd</a>
asd
<a href="javascript:">asd</a>
<scri<script></script>pt ... >asd</script>
<a style="hey:good boy;" href="javascript:">asd</a>
Je n'ai aucune expérience à des expressions css mais je sais que sur le comportement à l'aide de JS VML dans IE pour les angles courbes peuvent donc être dangereux. ET ENFIN, IL N'EST PAS ET PAS DE GARANTIE.
je l'espère, il peut être utile pour certains amis ;)
Vous pouvez le faire en PHP comme vous le feriez dans n'importe quelle autre langue. Et vous ne pouvez pas utiliser une regex pour cela. – AndreKR