2


0

簡単な質問です。 HTML埋め込みコードを検証するための良い方法はありますか? fyi、私はZend Frameworkとプロトタイプスクリプトを今使っています.. 誰かがその環境について手がかりを与えることができればそれは素晴らしいでしょう。

ありがとうございました! ^^

2 Answer


8


ユーザーにHTMLの入力を許可してからWebサイトに表示するには、http://htmlpurifier.org/ [HTMLPurifier]が非常に優れた解決策です。

入力としてあらゆる種類の "HTML"コードを取り、有効なHTMLを返すので、どのタグと属性を許可する必要があるかを指定できます。その他はすべて削除されます。

このようにして、ユーザーが無効なHTMLを入力しても、有効なHTMLが得られます(出力時にレイアウトが破壊される危険性が少なくなります)。セキュリティに最適です。

アプリケーションに統合せずに試してみたい場合は、http://htmlpurifier.org/demo.php [demo page]が利用可能です。

たとえば、次のように入力したとします。

これは閉じられていないタグとリンクでテストされており、いくつかの出力は</a>になります。</p>

<pre><code> <p> this <b>は閉じられていないタグ<em> <i>テスト</i> </b>と<a href = "http://google.com" >リンク</a>といくつかの</em> </p> </code> </pre>

<p>つまり、タグは問題なく(正しい順序で閉じられ)、scriptタグは削除され、リンクのonclick属性も削除されました。</p>


1


あなたの質問はちょっと漠然としていますが、HTMLが送信されているようで、あなたのサイトにそれを再表示したいようです。

最善の策は、承認されたHTMLのセットを見つけ出し、一致しないすべてのタグを削除することです。