CHtmlPurifier
优质
小牛编辑
136浏览
2023-12-01
所有包 | 属性 | 方法 | 事件
CHtmlPurifier 是HTML Purifier的一个包装。
CHtmlPurifier通过一个彻底的审核移除所有的恶意代码 (即众所周知的XSS),保护被许可的白名单。它也将确 保生成的代码是符合标准的。
CHtmlPurifier可以被作为一个小物件或一个控制器过滤器使用。
注意:好的HTML Purifier(净化器)是一个大的包,它的性能 并不是非常好。你可以考虑缓冲净化结果,或在将用户输入存入 数据库前执行净化。
作为一个类的用法:
作为验证规则的用法:
源码: framework/web/widgets/CHtmlPurifier.php#65 (显示)
源码: framework/web/widgets/CHtmlPurifier.php#76 (显示)
包 | system.web.widgets |
---|---|
继承 | class CHtmlPurifier » COutputProcessor » CFilterWidget » CWidget » CBaseController » CComponent |
实现 | IFilter |
源自 | 1.0 |
版本 | $Id: CHtmlPurifier.php 3541 2012-01-17 07:27:46Z mdomba $ |
源码 | framework/web/widgets/CHtmlPurifier.php |
CHtmlPurifier通过一个彻底的审核移除所有的恶意代码 (即众所周知的XSS),保护被许可的白名单。它也将确 保生成的代码是符合标准的。
CHtmlPurifier可以被作为一个小物件或一个控制器过滤器使用。
注意:好的HTML Purifier(净化器)是一个大的包,它的性能 并不是非常好。你可以考虑缓冲净化结果,或在将用户输入存入 数据库前执行净化。
作为一个类的用法:
$p = new CHtmlPurifier(); $p->options = array('URI.AllowedSchemes'=>array('http' => true,'https' => true, )); $text = $p->purify($text);
作为验证规则的用法:
array('text','filter','filter'=>array($obj=new CHtmlPurifier(),'purify')),
公共属性
隐藏继承属性
属性 | 类型 | 描述 | 定义在 |
---|---|---|---|
actionPrefix | string | actions的ID的前缀。 当微件在CController::actions中声明了 动作提供者,可以为其动作的ID指定前缀以区别 于别的微件或控制器。当微件用于控制器 的视图中时,必须配置同样的前缀。 | CWidget |
controller | CController | 返回此微件所属的控制器。 | CWidget |
id | string | 返回此微件的ID。如果需要的话,将生产一个新的ID并将其返回。 | CWidget |
isFilter | boolean | 这个widget是否作为一个过滤器使用。 | CFilterWidget |
options | mixed | 需要传送给HTML Purifier实例的参数。 这个值可以是一个HTMLPurifier_Config对象,也可以是一个由指令组成 的数组 (Namespace. | CHtmlPurifier |
owner | CBaseController | 返回此微件的所有者或创建者。 | CWidget |
skin | mixed | 微件使用的皮肤的名称。默认为“default”。 如果此属性设置为false,微件将不会有皮肤被使用。 | CWidget |
stopAction | boolean | 当这个widget用作一个过滤器时是否停止动作的执行。 此属性应当仅在CWidget::init方法中进行改变。 默认值是false,表示动作将会被执行。 | CFilterWidget |
viewPath | string | 返回包含此微件所需的视图文件的路径。 | CWidget |
公共方法
隐藏继承方法
方法 | 描述 | 定义在 |
---|---|---|
__call() | 如果类中没有调的方法名,则调用这个方法。 | CComponent |
__construct() | 构造器。 | CFilterWidget |
__get() | 返回一个属性值、一个事件处理程序列表或一个行为名称。 | CComponent |
__isset() | 检查一个属性是否为null。 | CComponent |
__set() | 设置一个组件的属性值。 | CComponent |
__unset() | 设置一个组件的属性为null。 | CComponent |
actions() | 返回此widget使用的动作的列表。 | CWidget |
asa() | 返回这个名字的行为对象。 | CComponent |
attachBehavior() | 附加一个行为到组件。 | CComponent |
attachBehaviors() | 附加一个行为列表到组件。 | CComponent |
attachEventHandler() | 为事件附加一个事件处理程序。 | CComponent |
beginCache() | Begins fragment caching. | CBaseController |
beginClip() | Begins recording a clip. | CBaseController |
beginContent() | Begins the rendering of content that is to be decorated by the specified view. | CBaseController |
beginWidget() | Creates a widget and executes it. | CBaseController |
canGetProperty() | 确定属性是否可读。 | CComponent |
canSetProperty() | 确定属性是否可写。 | CComponent |
createWidget() | Creates a widget and initializes it. | CBaseController |
detachBehavior() | 从组件中分离一个行为。 | CComponent |
detachBehaviors() | 从组件中分离所有行为。 | CComponent |
detachEventHandler() | 分离一个存在的事件处理程序。 | CComponent |
disableBehavior() | 禁用一个附加行为。 | CComponent |
disableBehaviors() | 禁用组件附加的所有行为。 | CComponent |
enableBehavior() | 启用一个附加行为。 | CComponent |
enableBehaviors() | 启用组件附加的所有行为。 | CComponent |
endCache() | Ends fragment caching. | CBaseController |
endClip() | Ends recording a clip. | CBaseController |
endContent() | Ends the rendering of content. | CBaseController |
endWidget() | Ends the execution of the named widget. | CBaseController |
evaluateExpression() | 计算一个PHP表达式,或根据组件上下文执行回调。 | CComponent |
filter() | 执行过滤。 | CFilterWidget |
getController() | 返回此微件所属的控制器。 | CWidget |
getEventHandlers() | 返回一个事件的附加处理程序列表。 | CComponent |
getId() | 返回此微件的ID。如果需要的话,将生产一个新的ID并将其返回。 | CWidget |
getIsFilter() | 检查这个widget是否作为一个过滤器使用。 | CFilterWidget |
getOwner() | 返回此微件的所有者或创建者。 | CWidget |
getViewFile() | 根据视图名查找视图文件。 | CWidget |
getViewPath() | 返回包含此微件所需的视图文件的路径。 | CWidget |
hasEvent() | 确定一个事件是否定义。 | CComponent |
hasEventHandler() | 检查事件是否有附加的处理程序。 | CComponent |
hasProperty() | 确定属性是否被定义。 | CComponent |
init() | 初始化此小物件。 | COutputProcessor |
onProcessOutput() | 当获取到输出时激发。 | COutputProcessor |
processOutput() | 处理获取的输出。 | CHtmlPurifier |
purify() | 通过移除恶意代码对HTML内容进行净化。 | CHtmlPurifier |
raiseEvent() | 发起一个事件。 | CComponent |
render() | 渲染一个视图。 | CWidget |
renderFile() | Renders a view file. | CBaseController |
renderInternal() | Renders a view file. | CBaseController |
run() | 运行此小物件。 | COutputProcessor |
setId() | 设置此微件的ID。 | CWidget |
widget() | Creates a widget and executes it. | CBaseController |
事件
隐藏继承事件
事件 | 描述 | 定义在 |
---|---|---|
onProcessOutput | 当获取到输出时激发。 | COutputProcessor |
属性详细
options 属性 public mixed $options;需要传送给HTML Purifier实例的参数。 这个值可以是一个HTMLPurifier_Config对象,也可以是一个由指令组成 的数组 (Namespace.Directive => Value)或一个 ini 文件的文件名。
参见
- http://htmlpurifier.org/live/configdoc/plain.html
方法详细
processOutput() 方法public void processOutput(string $output) | ||
$output | string | 将被处理的获取的输出。 |
publicfunctionprocessOutput($output)
{
$output=$this->purify($output);
parent::processOutput($output);
}
处理获取的输出。 此方法使用HTML Purifier对输出进行净化。
purify() 方法public string purify(string $content) | ||
$content | string | 需要被净化的内容。 |
{return} | string | 已净化的内容 |
publicfunctionpurify($content)
{
$purifier=newHTMLPurifier($this->options);
$purifier->config->set('Cache.SerializerPath',Yii::app()->getRuntimePath());
return$purifier->purify($content);
}
通过移除恶意代码对HTML内容进行净化。