Security

HTML Purifier の使い方

投稿日:2015年5月14日 更新日:

HTML Purifier について

HTML Purifier は、HTML文字列に対して特定のHTMLタグやその属性を削除してくれるPHPのライブラリです。

Composerで使う方法

1. composer.json の require に、以下を追記する

    // :
    "require": {
        // :
        "ezyang/htmlpurifier": "dev-master",
        // :
    },
    // :

2. composer update する

$ composer update

3. 実際に使う

// :
use HTMLPurifier;
use HTMLPurifier_Config;
// :
class Foo {
    // :
    /**
     * HTML文字列を受け取り、purifyして返す。
     *
     * @param string $dirty_html
     * @return string
     */
    public function purify($dirty_html) {
        // HTMLPurifierを設定するためのクラスを生成する
        $config = HTMLPurifier_Config::createDefault();
        // target="_blank" が使えるようにする
        $config->set('HTML.TargetBlank', true);
        // id属性を許可する
        $config->set('Attr.EnableID', true);

        $purifier = new HTMLPurifier($config);
        return $purifier->purify($dirty_html);
    }
    // :

HTMLPurifier_Config での設定できる項目について

本家サイト

使い方に関して参考になるサイト

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Web Security

JavaScript とHTML5のセキュリティ対策

JavaScript や HTML5 を安全に使うため、気を付けるべきポイントについて書いています。 目次1. 基礎知識発生しやすい脆弱性信頼できない値はどこからくるのか?(ソース)信頼できない値が出 …

no image

OS コマンド・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「OS コマンド・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイト …

セキュリティ

セキュリティの会社も疑ってみる

セキュリティの会社であっても営利企業なので、いろいろ思惑があって動くこともありますよ。 気を付けましょう。 全く出鱈目な注意喚起。対策の案内が出鱈目。https://t.co/gTCApCppvV(ネ …

Web Security

「秘密の質問」機能について

目次「秘密の質問」とは?「秘密の質問」をどう使えばよいのか?参考サイト 「秘密の質問」とは? 「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインタ …

Web Security

XSS Auditor が有効になっているかチェックするためのページを作りました

目次1. XSS とは?2. XSS を防ぐためのブラウザの機能「XSS Auditor」3. Webブラウザの XSS Auditor 機能が有効かどうか調べる4. 参考 1. XSS とは? XS …