symfony – 使用TWIG Markdown转义HTML代码

我正在撰写博客评论包,我想让用户使用Markdown发布一些代码.
我正在使用symfony2,TWIG和 KNPMarkdownBundle进行解析

{{ post.content|markdown }}

实际上,内容被很好地降价解析(< code>< p> …)但是如果我的内容中有一些HTML代码,例如:

Some content
``` <script>alert("hello world");</script> ```

代码未转义,我有一条提醒消息.
有人可以解释我如何处理XSS问题? (foo | raw和foo | escape正在破解解析)

我碰巧遇到了这个问题,但由于strip_tags不足以保护属性标签中的值,我将提交我的答案.

我正在使用HTML Purifier删除所有不需要的HTML元素和属性.打开命令控制台并执行以下命令进行安装.

$composer require ezyang/htmlpurifier "^4.6"

然后,您可以创建自己的Twig扩展:

namespace AcmeBundle\Twig;

class HTMLPurifierExtension extends \Twig_Extension
{
    public function getFilters()
    {
        return array(
            new \Twig_SimpleFilter('html_purifier', array($this, 'purify'), array('is_safe' => array('html'))),
        );
    }

    public function purify($text)
    {
        $elements = array(
            'p',
            'br',
            'small',
            'strong', 'b',
            'em', 'i',
            'strike',
            'sub', 'sup',
            'ins', 'del',
            'ol', 'ul', 'li',
            'h1', 'h2', 'h3',
            'dl', 'dd', 'dt',
            'pre', 'code', 'samp', 'kbd',
            'q', 'blockquote', 'abbr', 'cite',
            'table', 'thead', 'tbody', 'th', 'tr', 'td',
            'a[href|target|rel|id]',
            'img[src|title|alt|width|height|style]'
        );

        $config = \HTMLPurifier_Config::createDefault();
        $config->set('HTML.Allowed', implode(',', $elements));

        $purifier = new \HTMLPurifier($config);
        return $purifier->purify($text);
    }

    public function getName()
    {
        return 'html_purifier';
    }
}

打开services.yml并将扩展名注册为服务:

services:
    acme.html_purifier_extension:
        class: AcmeBundle\Twig\HTMLPurifierExtension
        public: false
        tags:
            - { name: twig.extension }

现在你可以用它了

{{ post.content|markdown|html_purifier }}
相关文章
相关标签/搜索