HTML中的文本內部鏈接凈化

Question

我在文字內有一個鏈接：

$va="Some text http://www.stackoverflow.com?var=1&var2=2 more text"

用此進行凈化時：

$config = HTMLPurifier_Config::createDefault();
$config->set('URI.MakeAbsolute', false);
$config->set('HTML.SafeObject', true);
$config->set('Output.FlashCompat', true);
$config->set('URI.AllowedSchemes',
        array (
                    'http' => true,
                    'https' => true,
                    'mailto' => true
                ));
$def = $config->getHTMLDefinition(true);
$def->addAttribute('a', 'target', 'Enum#_blank,_self,_target,_top');
$def->addAttribute('a', 'data-width', 'Text');
$def->addAttribute('a', 'data-height', 'Text');
$def->addAttribute('a', 'id', 'Text');
$def->addAttribute('a', 'name', 'Text');
$purifier = new HTMLPurifier($config);
$va = $purifier->purify($va);

清除<鏈接的替換字符＆，<如何防止這種情況？

Answer 1

當我運行您的代碼時，我得到了預期的結果：

<?php
ini_set('display_errors', TRUE);
error_reporting(E_ALL);

include_once 'library/HTMLPurifier.auto.php';

$raw = 'Some text http://www.stackoverflow.com?var=1&var2=2 more text';

$config = HTMLPurifier_Config::createDefault();
$config->set('URI.MakeAbsolute', false);
$config->set('HTML.SafeObject', true);
$config->set('Output.FlashCompat', true);
$config->set('URI.AllowedSchemes',
        array (
                    'http' => true,
                    'https' => true,
                    'mailto' => true
                ));
$def = $config->getHTMLDefinition(true);
$def->addAttribute('a', 'target', 'Enum#_blank,_self,_target,_top');
$def->addAttribute('a', 'data-width', 'Text');
$def->addAttribute('a', 'data-height', 'Text');
$def->addAttribute('a', 'id', 'Text');
$def->addAttribute('a', 'name', 'Text');
$purifier = new HTMLPurifier($config);

echo $purifier->purify($raw);

我懂了

Some text http://www.stackoverflow.com?var=1&var2=2 more text

請注意，＆符號已被正確轉義。 它必須是代碼中其他位置的錯誤。

Answer 2

我沒有使用此庫，但令我感到奇怪的是，您為鏈接（$ def）定義了一個定義，並且從未在purifier上進行設置。

從我的角度來看，將“ <”字符列入白名單不是正確的解決方案。 如果凈化器配置正確，則應由凈化器處理。