用的白名单过滤,是我们的论坛自用的方法,也许考虑不周,欢迎来黑我们的论坛!
https://www.ebcms.com/forum.html

// 安全过滤

function safe_html($html){

    $elements = [

        'html'      =>  [],

        'body'      =>  [],

        'a'         =>  ['target', 'href', 'title', 'class', 'style'],

        'abbr'      =>  ['title', 'class', 'style'],

        'address'   =>  ['class', 'style'],

        'area'      =>  ['shape', 'coords', 'href', 'alt'],

        'article'   =>  [],

        'aside'     =>  [],

        'audio'     =>  ['autoplay', 'controls', 'loop', 'preload', 'src', 'class', 'style'],

        'b'         =>  ['class', 'style'],

        'bdi'       =>  ['dir'],

        'bdo'       =>  ['dir'],

        'big'       =>  [],

        'blockquote'=>  ['cite', 'class', 'style'],

        'br'        =>  [],

        'caption'   =>  ['class', 'style'],

        'center'    =>  [],

        'cite'      =>  [],

        'code'      =>  ['class', 'style'],

        'col'       =>  ['align', 'valign', 'span', 'width', 'class', 'style'],

        'colgroup'  =>  ['align', 'valign', 'span', 'width', 'class', 'style'],

        'dd'        =>  ['class', 'style'],

        'del'       =>  ['datetime'],

        'details'   =>  ['open'],

        'div'       =>  ['class', 'style'],

        'dl'        =>  ['class', 'style'],

        'dt'        =>  ['class', 'style'],

        'em'        =>  ['class', 'style'],

        'font'      =>  ['color', 'size', 'face'],

        'footer'    =>  [],

        'h1'        =>  ['class', 'style'],

        'h2'        =>  ['class', 'style'],

        'h3'        =>  ['class', 'style'],

        'h4'        =>  ['class', 'style'],

        'h5'        =>  ['class', 'style'],

        'h6'        =>  ['class', 'style'],

        'header'    =>  [],

        'hr'        =>  [],

        'i'         =>  ['class', 'style'],

        'img'       =>  ['src', 'alt', 'title', 'width', 'height', 'id', 'class'],

        'ins'       =>  ['datetime'],

        'li'        =>  ['class', 'style'],

        'mark'      =>  [],

        'nav'       =>  [],

        'ol'        =>  ['class', 'style'],

        'p'         =>  ['class', 'style'],

        'pre'       =>  ['class', 'style'],

        's'         =>  [],

        'section'   =>  [],

        'small'     =>  [],

        'span'      =>  ['class', 'style'],

        'sub'       =>  ['class', 'style'],

        'sup'       =>  ['class', 'style'],

        'strong'    =>  ['class', 'style'],

        'table'     =>  ['width', 'border', 'align', 'valign', 'class', 'style'],

        'tbody'     =>  ['align', 'valign', 'class', 'style'],

        'td'        =>  ['width', 'rowspan', 'colspan', 'align', 'valign', 'class', 'style'],

        'tfoot'     =>  ['align', 'valign', 'class', 'style'],

        'th'        =>  ['width', 'rowspan', 'colspan', 'align', 'valign', 'class', 'style'],

        'thead'     =>  ['align', 'valign', 'class', 'style'],

        'tr'        =>  ['rowspan', 'align', 'valign', 'class', 'style'],

        'tt'        =>  [],

        'u'         =>  [],

        'ul'        =>  ['class', 'style'],

        'video'     =>  ['autoplay', 'controls', 'loop', 'preload', 'src', 'height', 'width', 'class', 'style'],

        'embed'     =>  ['src', 'height','align', 'width', 'class', 'style','type','pluginspage','wmode','play','loop','menu','allowscriptaccess','allowfullscreen'],

        'source'    =>  ['src', 'type']

    ];

    $html = strip_tags($html,'<'.implode('><', array_keys($elements)).'>');

    $xml = new \DOMDocument();

    libxml_use_internal_errors(true);

    if (!strlen($html)){

        return '';

    }

    if ($xml->loadHTML('<meta http-equiv="Content-Type" content="text/html; charset=utf-8">' . $html)){

        foreach ($xml->getElementsByTagName("*") as $element){

            if (!isset($elements[$element->tagName])){

                $element->parentNode->removeChild($element);

            }else{

                for ($k = $element->attributes->length - 1; $k >= 0; --$k) {

                    if (!in_array($element->attributes->item($k) -> nodeName, $elements[$element->tagName])){

                        $element->removeAttributeNode($element->attributes->item($k));

                    }elseif (in_array($element->attributes->item($k) -> nodeName, ['href','src','style','background','size'])) {

                        $_keywords = ['javascript:','javascript.:','vbscript:','vbscript.:',':expression'];

                        $find = false;

                        foreach ($_keywords as $a => $b) {

                            if (false !== strpos(strtolower($element->attributes->item($k)->nodeValue),$b)) {

                                $find = true;

                            }

                        }

                        if ($find) {

                            $element->removeAttributeNode($element->attributes->item($k));

                        }

                    }

                }

            }

        }

    }

    $html = substr($xml->saveHTML($xml->documentElement), 12, -14);

    $html = strip_tags($html,'<'.implode('><', array_keys($elements)).'>');

    return $html;

}

当然 还有一种漏洞就是url权限操作链接,可能引起版主误操作。

xss过滤方法的更多相关文章

  1. XSS 防御方法总结

    1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩 ...

  2. Asp.net Mvc中利用ValidationAttribute实现xss过滤

    在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能.用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦 ...

  3. XSS过滤JAVA过滤器filter 防止常见SQL注入

    Java项目中XSS过滤器的使用方法. 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩 ...

  4. 如何在springboot项目中进行XSS过滤

    简单介绍 XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意 ...

  5. spring boot集成swagger,自定义注解,拦截器,xss过滤,异步调用,guava限流,定时任务案例, 发邮件

    本文介绍spring boot集成swagger,自定义注解,拦截器,xss过滤,异步调用,定时任务案例 集成swagger--对于做前后端分离的项目,后端只需要提供接口访问,swagger提供了接口 ...

  6. python(Django之组合搜索、JSONP、XSS过滤 )

    一.组合搜索 二.jsonp 三.xss过滤 一.组合搜索 首先,我们在做一个门户网站的时候,前端肯定是要进行搜索的,但是如果搜索的类型比较多的话,怎么做才能一目了然的,这样就引出了组合搜索的这个案例 ...

  7. 04: 使用BeautifulSoup封装的xss过滤模块

    目录: 1.1 xss攻击简介 1.2 xss攻击解决方法 1.1 xss攻击简介返回顶部 1.简介 1. 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS. ...

  8. Python开发【Django】:组合搜索、JSONP、XSS过滤

    组合搜索 做博客后台时,需要根据文章的类型做不同的检索 1.简单实现 关联文件: from django.conf.urls import url from . import views urlpat ...

  9. Bypass xss过滤的测试方法

    0x00 背景 本文来自于<Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters>其中的byp ...

随机推荐

  1. Pythoncookbook(数据结构与算法)在字典中将键映射到多个值上的方法

    Python cookbook(数据结构与算法)在字典中将键映射到多个值上的方法 本文实例讲述了Python在字典中将键映射到多个值上的方法.分享给大家供大家参考,具体如下: 问题:一个能将键(key ...

  2. ubuntu go 开发环境搭建

    访问:https://golang.org/dl/ 下载 go1.12.4.linux-amd64.tar.gz wget https://dl.google.com/go/go1.12.4.linu ...

  3. C++ vector的详细用法

    vector容器类型 vector容器是一个模板类,可以存放任何类型的对象(但必须是同一类对象).vector对象可以在运行时高效地添加元素,并且vector中元素是连续存储的.vector的构造 函 ...

  4. 云计算Openstack介绍(1)

    一.云计算的前世今生 所有的新事物都不是突然冒出来的,都有前世和今生.云计算也是IT技术不断发展的产物. 要理解云计算,需要对IT系统架构的发展过程有所认识. 请看下 IT系统架构的发展到目前为止大致 ...

  5. 【DSP开发】【计算机视觉】TI 视觉软件开发套件ADAS

    关键字:TI  视觉软件开发套件  ADAS 日前,德州仪器 (TI) 宣布推出其视觉软件开发套件(SDK),从而为开发人员提供了一款灵活的框架.一组丰富齐全的硬件设备驱动程序和一套适用的开发工具,可 ...

  6. java追加文件

    public class AppendToFile { /** * A方法追加文件:使用RandomAccessFile */ public static void appendMethodA(Str ...

  7. Laravel策略(Policy)示例

    场景:当前用户创建的订单,只能当前用户自己看,可以通过授权策略类(Policy)来实现 1.php artisan make:policy OrderPolicy 成功后,默认只有一个构造方法.因为涉 ...

  8. 从零开始,SpreadJS新人学习笔记【第3周】

    表单&函数 阔别多日, SpreadJS新人学习笔记,本周起正式回归!(在断更的这一个月中,我为大家先后录制了14期SpreadJS产品入门系列学习视频,希望帮助那些正在学习和使用 Sprea ...

  9. 用原生JS写省市二级联动

    HTML代码 <select id="s1"> <option value="0">~请选择省份~</option> < ...

  10. N1考试必备词汇

    相次ぐ あいつぐ 淡い あわい 合間 あいま 渋い しぶい 相俟つ あいまつ 慌てよう あわてよう 明るい あかるい 安易過ぎる 明らか あきらか 用心 ようじん 悪事 あくじ 案の定 あんのじょう ...