请教如何限定 textarea 输入的 HTML 标签 - V2EX

Home Sign Up Sign In

This topic created in 2302 days ago, the information mentioned may be changed or developed.

有这么一个需求，限制一个 textarea 输入的 HTML 内容只支持普通字串以及链接（ a 标签），其它标签（比如 img iframe embed 等等等）均不允许，JS 或者 PHP 怎样写可以在提交前或者入库的时候过滤掉除 a 标签和正常字串以外的呢？

感觉有点类似 discuz 论坛的个人签名，一些危险 HTML 标签都不支持。

有会的大佬能帮写个正则什么的吗？

帮忙的大佬先祝您佛光保佑，退散恶灵，全家安康。谢谢。

6 replies • 2020-02-10 10:01:09 +08:00

1

loadinger

Feb 7, 2020

1

好像有个 strip_tags 之类的方法吧，默认是所有 html 标签都过滤了，好像有第二个还是第三个参数可以带不过滤的白名单标签。
如果不过滤，就会存在 css javascript 的安全性问题吧。

2

IDCFAN

OP

Feb 7, 2020

@loadinger 谢谢啦。帮助太大了。正是我需要的。

3

xiwangzishi

Feb 7, 2020

2

PHP 的话推荐使用 http://htmlpurifier.org/

4

ClericPy

Feb 7, 2020

1

提交前检验只能防君子不能防小人(模拟个请求就绕过去了)
后端简单的做个定向 escape 就好了, 不过我后端是 Python 的, 先解析 dom 然后拿到定向的几个节点强制 escape 就完事了

5

hantsy

Feb 7, 2020

1

提交的只是 HTML 内容而已，真正控制显示才是重要。现在一般的框架由于安全考虑都不允许显示 HTML 内容，会直接 Escape。

6

loadinger

Feb 10, 2020

1

@IDCFAN 只要有白名单，就一定要再次过滤里面的 css 和 js，切记。正如有人说到的，htmlpurifier.org

About · Help · Advertise · Blog · API · FAQ · Solana · 5344 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 36ms · UTC 06:55 · PVG 14:55 · LAX 23:55 · JFK 02:55
♥ Do have faith in what you're doing.