CHtmlPurifier

所有包 | 属性 | 方法 | 事件

包	system.web.widgets
继承	class CHtmlPurifier » COutputProcessor » CFilterWidget » CWidget » CBaseController » CComponent
实现	IFilter
源自	1.0
版本	$Id: CHtmlPurifier.php 3541 2012-01-17 07:27:46Z mdomba $
源码	framework/web/widgets/CHtmlPurifier.php

CHtmlPurifier 是HTML Purifier的一个包装。

CHtmlPurifier通过一个彻底的审核移除所有的恶意代码 （即众所周知的XSS），保护被许可的白名单。它也将确 保生成的代码是符合标准的。

CHtmlPurifier可以被作为一个小物件或一个控制器过滤器使用。

注意：好的HTML Purifier（净化器）是一个大的包，它的性能 并不是非常好。你可以考虑缓冲净化结果，或在将用户输入存入 数据库前执行净化。

作为一个类的用法：

$p = new CHtmlPurifier();
$p->options = array('URI.AllowedSchemes'=>array('http' => true,'https' => true,
));
$text = $p->purify($text);

作为验证规则的用法：

array('text','filter','filter'=>array($obj=new CHtmlPurifier(),'purify')),

公共属性

隐藏继承属性

属性	类型	描述	定义在
actionPrefix	string	actions的ID的前缀。 当微件在CController::actions中声明了 动作提供者，可以为其动作的ID指定前缀以区别 于别的微件或控制器。当微件用于控制器 的视图中时，必须配置同样的前缀。	CWidget
controller	CController	返回此微件所属的控制器。	CWidget
id	string	返回此微件的ID。如果需要的话，将生产一个新的ID并将其返回。	CWidget
isFilter	boolean	这个widget是否作为一个过滤器使用。	CFilterWidget
options	mixed	需要传送给HTML Purifier实例的参数。 这个值可以是一个HTMLPurifier_Config对象，也可以是一个由指令组成 的数组 (Namespace.	CHtmlPurifier
owner	CBaseController	返回此微件的所有者或创建者。	CWidget
skin	mixed	微件使用的皮肤的名称。默认为“default”。 如果此属性设置为false，微件将不会有皮肤被使用。	CWidget
stopAction	boolean	当这个widget用作一个过滤器时是否停止动作的执行。 此属性应当仅在CWidget::init方法中进行改变。 默认值是false，表示动作将会被执行。	CFilterWidget
viewPath	string	返回包含此微件所需的视图文件的路径。	CWidget

公共方法

隐藏继承方法

方法	描述	定义在
__call()	如果类中没有调的方法名，则调用这个方法。	CComponent
__construct()	构造器。	CFilterWidget
__get()	返回一个属性值、一个事件处理程序列表或一个行为名称。	CComponent
__isset()	检查一个属性是否为null。	CComponent
__set()	设置一个组件的属性值。	CComponent
__unset()	设置一个组件的属性为null。	CComponent
actions()	返回此widget使用的动作的列表。	CWidget
asa()	返回这个名字的行为对象。	CComponent
attachBehavior()	附加一个行为到组件。	CComponent
attachBehaviors()	附加一个行为列表到组件。	CComponent
attachEventHandler()	为事件附加一个事件处理程序。	CComponent
beginCache()	Begins fragment caching.	CBaseController
beginClip()	Begins recording a clip.	CBaseController
beginContent()	Begins the rendering of content that is to be decorated by the specified view.	CBaseController
beginWidget()	Creates a widget and executes it.	CBaseController
canGetProperty()	确定属性是否可读。	CComponent
canSetProperty()	确定属性是否可写。	CComponent
createWidget()	Creates a widget and initializes it.	CBaseController
detachBehavior()	从组件中分离一个行为。	CComponent
detachBehaviors()	从组件中分离所有行为。	CComponent
detachEventHandler()	分离一个存在的事件处理程序。	CComponent
disableBehavior()	禁用一个附加行为。	CComponent
disableBehaviors()	禁用组件附加的所有行为。	CComponent
enableBehavior()	启用一个附加行为。	CComponent
enableBehaviors()	启用组件附加的所有行为。	CComponent
endCache()	Ends fragment caching.	CBaseController
endClip()	Ends recording a clip.	CBaseController
endContent()	Ends the rendering of content.	CBaseController
endWidget()	Ends the execution of the named widget.	CBaseController
evaluateExpression()	计算一个PHP表达式，或根据组件上下文执行回调。	CComponent
filter()	执行过滤。	CFilterWidget
getController()	返回此微件所属的控制器。	CWidget
getEventHandlers()	返回一个事件的附加处理程序列表。	CComponent
getId()	返回此微件的ID。如果需要的话，将生产一个新的ID并将其返回。	CWidget
getIsFilter()	检查这个widget是否作为一个过滤器使用。	CFilterWidget
getOwner()	返回此微件的所有者或创建者。	CWidget
getViewFile()	根据视图名查找视图文件。	CWidget
getViewPath()	返回包含此微件所需的视图文件的路径。	CWidget
hasEvent()	确定一个事件是否定义。	CComponent
hasEventHandler()	检查事件是否有附加的处理程序。	CComponent
hasProperty()	确定属性是否被定义。	CComponent
init()	初始化此小物件。	COutputProcessor
onProcessOutput()	当获取到输出时激发。	COutputProcessor
processOutput()	处理获取的输出。	CHtmlPurifier
purify()	通过移除恶意代码对HTML内容进行净化。	CHtmlPurifier
raiseEvent()	发起一个事件。	CComponent
render()	渲染一个视图。	CWidget
renderFile()	Renders a view file.	CBaseController
renderInternal()	Renders a view file.	CBaseController
run()	运行此小物件。	COutputProcessor
setId()	设置此微件的ID。	CWidget
widget()	Creates a widget and executes it.	CBaseController

事件

隐藏继承事件

事件	描述	定义在
onProcessOutput	当获取到输出时激发。	COutputProcessor

属性详细

options 属性 public mixed $options;

需要传送给HTML Purifier实例的参数。 这个值可以是一个HTMLPurifier_Config对象，也可以是一个由指令组成 的数组 (Namespace.Directive => Value)或一个 ini 文件的文件名。

参见

• http://htmlpurifier.org/live/configdoc/plain.html

方法详细

processOutput() 方法

public void processOutput(string $output)
$output	string	将被处理的获取的输出。

源码： framework/web/widgets/CHtmlPurifier.php#65 (显示) publicfunctionprocessOutput($output)
{
$output=$this->purify($output);
parent::processOutput($output);
}

处理获取的输出。 此方法使用HTML Purifier对输出进行净化。

purify() 方法

public string purify(string $content)
$content	string	需要被净化的内容。
{return}	string	已净化的内容

源码： framework/web/widgets/CHtmlPurifier.php#76 (显示) publicfunctionpurify($content)
{
$purifier=newHTMLPurifier($this->options);
$purifier->config->set('Cache.SerializerPath',Yii::app()->getRuntimePath());
return$purifier->purify($content);
}

通过移除恶意代码对HTML内容进行净化。