答案是使用HTML Purifier等专业库结合转义与过滤策略。PHP中过滤HTML标签的核心目标是防范XSS攻击,主要手段包括strip_tags()和htmlspecialchars(),但前者无法处理危险属性如onclick,后者仅将特殊字符转义为实体,适用于纯文本输出。当需允许安全HTML时,应使用HTML Purifier等基于白名单和DOM解析的净化库,确保只保留合法标签和属性,从而在功能与安全间取得平衡。
PHP过滤HTML标签主要目标是提升安全性,尤其是防范跨站脚本(XSS)攻击。这通常通过移除或转义HTML代码来实现,具体选择哪种方式取决于你希望用户输入的内容是被完全净化为纯文本,还是允许显示部分安全的HTML标签。
解决方案
处理PHP中的HTML标签,我们通常会用到两种核心策略:过滤(Filtering)和转义(Escaping)。它们的目的不同,但都是为了安全。
最基础的过滤手段是使用PHP内置的
strip_tags()函数。这个函数能从字符串中剥去HTML、XML以及PHP标签。它接受两个参数:要处理的字符串,以及一个可选的允许保留的标签列表。
Hello, world!立即学习“PHP免费学习笔记(深入)”;
Click Me"; // 示例1:完全剥离所有标签 $cleanText = strip_tags($userInput); echo "完全剥离: " . $cleanText . "\n"; // 输出: 完全剥离: Hello, world!Click Me // 示例2:允许保留部分标签,比如和 $allowedTags = '
'; $partiallyCleanText = strip_tags($userInput, $allowedTags); echo "部分保留: " . $partiallyCleanText . "\n"; // 输出: 部分保留:
Hello, world!
Click Me ?>
从上面的示例2可以看到,
strip_tags()虽然移除了
";
// 使用htmlspecialchars进行转义
$escapedInput = htmlspecialchars($maliciousInput, ENT_QUOTES, 'UTF-8');
echo "转义后的内容: " . $escapedInput . "\n";
// 输出: 转义后的内容: zuojiankuohaophpcnscriptyoujiankuohaophpcnalert('You are hacked!');zuojiankuohaophpcn/scriptyoujiankuohaophpcn
// 当在HTML中显示时,浏览器会将其作为文本处理
// zuojiankuohaophpcnscriptyoujiankuohaophpcnalert('You are hacked!');zuojiankuohaophpcn/scriptyoujiankuohaophpcn
?>我个人认为,对于绝大多数需要展示用户输入的情况,
htmlspecialchars()几乎是必备的。它能确保你显示的内容不会被浏览器误解为可执行代码。
为什么直接使用 strip_tags()
可能不够安全?
讲真,
strip_tags()这个函数,虽然名字听起来很“安全”,但在实际的Web安全场景中,它只能算是一个初级的、甚至是有点粗暴的工具。我的经验是,如果你只是想把所有HTML标签都“一刀切”地移除,让内容变成纯文本,那它还能派上用场。但一旦你希望允许用户输入一部分安全的HTML(比如加粗、斜体),同时又想阻止恶意代码,
strip_tags()就显得力不从心了。
它最主要的局限在于:
-
不处理标签属性:
strip_tags()
只会移除标签本身,但不会检查标签内部的属性。就像前面例子里展示的,标签的
onclick
属性,或者@@##@@
标签的onerror
属性,这些都是XSS攻击的常见载体,strip_tags()
对它们完全无感。@@##@@
这段代码经过
strip_tags()
处理后,@@##@@
标签可能还在(如果你允许@@##@@
),但onerror
属性会原封不动地保留下来,一旦浏览器加载失败,恶意脚本就会执行。 -
对畸形HTML的处理能力有限: HTML的解析非常复杂,浏览器对不规范的HTML有很强的容错能力。
strip_tags()
是一个简单的字符串匹配和移除过程,它不是一个真正的HTML解析器。这意味着,一些巧妙构造的畸形HTML,可能会绕过strip_tags()
的过滤,最终在浏览器中被解析并执行。 例如,一些不完整的标签或者利用注释、CSS表达式等方式,都可能导致意外的行为。 -
上下文依赖的漏洞: 有时候,即使标签被移除了,恶意内容如果被插入到特定的HTML上下文(比如
world!Click Me@@##@@'; $clean_html = $purifier->purify($dirty_html); echo "原始HTML:\n" . $dirty_html . "\n\n"; echo "净化后HTML:\n" . $clean_html . "\n"; ?>
运行上述代码,你会看到
Link'; $dom = new DOMDocument(); // 抑制HTML解析错误 @$dom->loadHTML($html, LIBXML_HTML_NOIMPLIED | LIBXML_HTML_NODEFDTD); $xpath = new DOMXPath($dom); // 移除所有script标签 foreach ($xpath->query('//script') as $node) { $node->parentNode->removeChild($node); } // 移除所有元素的onclick属性 foreach ($xpath->query('//*[@onclick]') as $node) { $node->removeAttribute('onclick'); } // 进一步可以遍历所有标签,只保留白名单中的标签和属性 $cleanHtml = $dom->saveHTML(); echo $cleanHtml; ?>
使用
DOMDocument
来做净化工作,你需要非常小心地定义你的白名单规则,并确保覆盖所有可能的攻击向量。总而言之,如果你需要处理用户提交的HTML内容并确保其安全性,我的建议是:优先使用HTML Purifier。它久经考验,提供了最全面的安全保障。只有在极少数极端定制化的场景下,并且你对Web安全和DOM操作有足够的信心时,才考虑自己基于
DOMDocument
实现净化逻辑。记住,安全无小事,宁可保守,不可冒险。
