XSS杀手
程序员文章站
2022-06-01 22:01:34
...
根据白名单对字符串进行过滤。如果字符串包含白名单意外的html标签,或者白名单允许的标签但属性不在白名单内,则这些部分会被过滤掉。 无 ?php/** * Prevent XSS. * * @author liuxd */class XssFilter{ /** * 设置标签和属性的白名单。 * @param array $p_a
根据白名单对字符串进行过滤。如果字符串包含白名单意外的html标签,或者白名单允许的标签但属性不在白名单内,则这些部分会被过滤掉。
aTags = $p_aTags; $this->aAttr = $p_aAttr; } /** * 过滤器。 * @param string $p_sInput * @return string */ public function filter($p_sInput) { $aMatches = []; $sPattern = '/.*/'; preg_match_all($sPattern, $p_sInput, $aMatches); $sInput = $p_sInput; if (empty($aMatches[1])) { return $sInput; } list ($aContents, $aTags) = $aMatches; foreach ($aTags as $iKey => $sTag) { if (!in_array($sTag, $this->aTags)) { // 标签不合法 $sInput = str_replace($aContents[$iKey], '', $sInput); } else { $aTag = []; preg_match('//', $aContents[$iKey], $aTag); $aAttr = explode(' ', $aTag[0]); if (!$this->checkAttr($aAttr)) { // 标签虽然合法,但是包含了不合法的属性。 $sInput = str_replace($aContents[$iKey], '', $sInput); } } } return trim($sInput); } /** * 检查合法标签是否有非法属性。 * @param array $p_aAttr 标签熟悉列表 * @return bool */ private function checkAttr($p_aAttr) { $bResult = true; foreach ($p_aAttr as $sAttr) { $sAttrName = strstr($sAttr, '=', true); if ($sAttrName === false) { continue; } if (!in_array($sAttrName, $this->aAttr)) { $bResult = false; } } return $bResult; } } # end of this file