在 PHP 中清理用户定义的 CSS

php css sanitization

2022-08-30 21:12:28

我想允许用户在我的论坛上使用他们自己的样式表作为你的个人资料，但我担心可能的安全漏洞。有没有人有任何清理CSS的提示？

基本过程：用户在表单中输入 CSS ->保存到 DB -> 输出为内联 CSS

答案 1

HTMLPurifier with CSSTidy 可以完成你想要的。

HTMLPurifier主要用于清理HTML，但也可以选择使用CSSTidy提取样式块。

HTMLPurifier文档中有一个例子（但唉，我已经用完了每个帖子的两个链接。

这是另一个：

require_once './htmlpurifier/library/HTMLPurifier.auto.php';
require_once './csstidy/class.csstidy.php';

// define some css
$input_css = "
    body {
        margin: 0px;
        padding: 0px;
        /* JS injection */
        background-image: url(javascript:alert('Injected'));
    }
    a {
        color: #ccc;
        text-decoration: none;
        /* dangerous proprietary IE attribute */
        behavior:url(hilite.htc);
        /* dangerous proprietary FF attribute */
        -moz-binding: url('http://virus.com/htmlBindings.xml');
    }
    .banner {
        /* absolute position can be used for phishing */
        position: absolute;
        top: 0px;
        left: 0px;
    }
";

// Create a new configuration object
$config = HTMLPurifier_Config::createDefault();
$config->set('Filter.ExtractStyleBlocks', TRUE);

// Create a new purifier instance
$purifier = new HTMLPurifier($config);

// Turn off strict warnings (CSSTidy throws some warnings on PHP 5.2+)
$level = error_reporting(E_ALL & ~E_STRICT);

// Wrap our CSS in style tags and pass to purifier. 
// we're not actually interested in the html response though
$html = $purifier->purify('<style>'.$input_css.'</style>');

// Revert error reporting
error_reporting($level);

// The "style" blocks are stored seperately
$output_css = $purifier->context->get('StyleBlocks');

// Get the first style block
echo $output_css[0];

输出为：

body {
    margin:0;
    padding:0;
}

a {
    color:#ccc;
    text-decoration:none;
}

.banner {
}

答案 2

自己定义类，并制作一个GUI来将颜色和其他属性应用于每个类，使用与twitter相同的方法。

可选文字 http://grab.by/grabs/3217158e9c48538eb127fb1678dab6ae.png

当然，这只有在您的布局由管理员（而不是用户）修复和定义时才有效。