最近在開發一個用戶可以輸入 html 內容的網站時,我遇到了一個棘手的問題:如何確保用戶輸入的 HTML 內容是安全的?用戶可能會無意或惡意地輸入一些腳本或不安全的標簽,這可能會導致安全漏洞和xss攻擊。我嘗試了多種方法來過濾和凈化用戶輸入,但效果不佳。最終,我通過使用 composer 安裝 stevebauman/purify 庫,成功解決了這個問題。
stevebauman/purify 是一個為 laravel 設計的 HTML 凈化器,它可以有效地過濾掉用戶輸入中的不安全內容。它基于 HTMLPurifier 庫,但提供了更簡潔的 API 和更方便的配置方式。
首先,使用 Composer 安裝 stevebauman/purify 非常簡單,只需在項目根目錄運行以下命令:
composer require stevebauman/purify
安裝完成后,發布配置文件:
php artisan vendor:publish --provider="StevebaumanPurifyPurifyServiceProvider"
接下來,你可以使用 Purify facade 來凈化用戶輸入。例如:
立即學習“前端免費學習筆記(深入)”;
use StevebaumanPurifyFacadesPurify; $input = '<script>alert("Harmful Script");</script> <p style="border:1px solid black" class="text-gray-700">Test</p>'; $cleaned = Purify::clean($input); // 輸出 '<p>Test</p>'
這個庫還支持凈化數組輸入和動態配置。例如,如果你需要為某個輸入設置不同的配置,可以這樣做:
use StevebaumanPurifyFacadesPurify; $config = ['HTML.Allowed' => 'div,b,a[href]']; $cleaned = Purify::config($config)->clean($input);
此外,stevebauman/purify 還支持緩存機制,可以提高凈化的效率。你可以通過配置文件來設置緩存方式:
// config/purify.php 'serializer' => [ 'disk' => env('FILESYSTEM_DISK', 'local'), 'path' => 'purify', 'cache' => StevebaumanPurifyCacheFilesystemDefinitionCache::class, ],
使用 stevebauman/purify 后,我的網站安全性得到了顯著提升,用戶輸入的 HTML 內容被有效地凈化,避免了潛在的安全風險。同時,庫的配置靈活性也讓我能夠根據不同的需求進行定制。
總的來說,stevebauman/purify 通過 Composer 的便捷安裝和強大的功能,幫助我輕松解決了用戶輸入的 HTML 安全問題,極大地提升了網站的安全性和用戶體驗。
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
