skip to main | skip to sidebar
Code 18
Manuel du savoir-faire à l'usage des geeks et des curieux
RSS
  • Accueil
  • Le web au Québec
  • Liens
  • Twitter
  • Facebook
  • À propos

mardi 9 juin 2009

Composant HTML Purifier

Publié par Infinite Loop, à 21 h 43 0 commentaire

En lisant récemment un tutoriel sur les applications web MVC, j'ai découvert le composant HTML Purifier. Il s'agit d'un filtre HTML open source qu'on peut utiliser dans nos applications, qui permet de contrer les faiblesses de la fonction PHP strip_tags() en proposant un filtre avancé hautement configurable. Si vous avez un site web qui autorise les visiteurs à entrer du contenu à l'aide d'un textarea, d'un RTE, ou sur un forum, il est extrêmement recommandé d'utiliser un filtre de ce type.

En comparaison avec HTML Tidy qui accepte n'importe quel markup HTML valide, incluant les balises SCRIPT, HTML Purifier peut non seulement épurer le code et le rendre conforme aux standards, mais aussi retirer tout code malicieux de cross-site scripting (XSS).

Voici un exemple fonctionnel de configuration minimale. Les éléments sont regroupés en différents ensembles : Core, CSS, HTML, AutoFormat, Output, Cache, etc. Voyez la liste complète des propriétés configurables pour HTML Purifier.

require_once('htmlpurifier-3.3.0/library/HTMLPurifier.auto.php');

// 1. définir la configuration
$config = HTMLPurifier_Config::createDefault();

// choisir l'encodage de la page : UTF-8, ISO-8859-1
$config->set('Core', 'Encoding', 'UTF-8');

$config->set('HTML', 'Doctype', 'XHTML 1.0 Strict');
$config->set('HTML', 'TidyLevel', 'heavy');

// les balises autorisées
$config->set('HTML', 'Allowed', 'a[href],strong,i,b,em,p,br');

// ou encore celles interdites
$config->set('HTML', 'ForbiddenElements', 'iframe');

// 2. utilisation
$html = 'html à nettoyer ici';

$purifier = new HTMLPurifier($config);

$clean_html = $purifier->purify($html);

echo $clean_html;
Quelques notes importantes
  • Le DocType sera utilisé pour générer du HTML valide correspondant. Par exemple, <br> sera traduit par <br /> en XHTML Strict
  • En initialisant TidyLevel à la valeur "heavy", le filtre transformera tous les éléments et attributs dépréciés à des normes conformes équivalentes.
  • Dans votre configuration, si magic_quotes est à ON, il y aura des problèmes avec l'interprétation des guillemets simples et doubles dans les attributs HTML (exemple: a href="http://www.ebay.ca/"). Il faudra donc le désactiver temporairement, seulement si vous autorisez l'entrée de balises avec des attributs.
  • À la ligne des balises autorisées, j'ai inscrit a[href]. Certaines personnes se demandent comment autoriser aussi l'attribut target, par exemple target="_blank". Comme j'ai initialisé l'outil au DocType XHTML 1.0 Strict, il n'est pas autorisé. Par contre, on pourra le spécifier en modifiant la configuration pour la suivante :

    $config->set('Attr', 'AllowedFrameTargets', array('_blank') );

    $config->set('HTML', 'Doctype', 'XHTML 1.0 Transitional');

  • Il est conseillé de mettre à jour le composant régulièrement pour bénéficier des derniers ajouts en matière de sécurité


Tags: PHP

0 réponse à "Composant HTML Purifier"


Publier un commentaire

Message plus récent Messages plus anciens Accueil
S'abonner à : Publier des commentaires (Atom)
    Suivre @code18 sur Twitter

    Catégories

    • Apache (21)
    • Citations (167)
    • Club Vidéo (24)
    • Coffre à outils (56)
    • CSS (8)
    • Curiosités (117)
    • Design Pattern (2)
    • Drupal (8)
    • Easter Eggs (22)
    • Extensions Firefox (20)
    • GIMP (7)
    • Histoire (21)
    • HTML (32)
    • Humour (57)
    • Intégration (34)
    • iPod (12)
    • JavaScript (110)
    • Jeu de combat (6)
    • Le coin du geek (128)
    • Liens (12)
    • Linux (56)
    • Livres (78)
    • Lois et principes (46)
    • Marché des saveurs (26)
    • Mathématique (18)
    • Mobile (5)
    • Montréal (32)
    • Musique (112)
    • Pancartes et écriteaux (16)
    • Perl (8)
    • Pérou (1)
    • PHP (130)
    • PostgreSQL (44)
    • Programmation (105)
    • Saviez-vous que (55)
    • Sécurité (22)
    • SEO (5)
    • SQL Server (22)
    • Vieilles publicités (6)
    • Virtualisation (8)
    • Voyages (1)
    • Zend Framework (26)

    Divers

    Archives

    • ►  2015 (6)
      • ►  août 2015 (1)
      • ►  juillet 2015 (1)
      • ►  février 2015 (3)
      • ►  janvier 2015 (1)
    • ►  2014 (8)
      • ►  décembre 2014 (1)
      • ►  novembre 2014 (1)
      • ►  octobre 2014 (1)
      • ►  août 2014 (2)
      • ►  juillet 2014 (2)
      • ►  janvier 2014 (1)
    • ►  2013 (53)
      • ►  décembre 2013 (2)
      • ►  novembre 2013 (1)
      • ►  octobre 2013 (3)
      • ►  septembre 2013 (2)
      • ►  août 2013 (5)
      • ►  juillet 2013 (3)
      • ►  juin 2013 (5)
      • ►  mai 2013 (3)
      • ►  avril 2013 (7)
      • ►  mars 2013 (7)
      • ►  février 2013 (11)
      • ►  janvier 2013 (4)
    • ►  2012 (105)
      • ►  décembre 2012 (8)
      • ►  novembre 2012 (5)
      • ►  octobre 2012 (4)
      • ►  septembre 2012 (1)
      • ►  août 2012 (8)
      • ►  juillet 2012 (7)
      • ►  juin 2012 (7)
      • ►  mai 2012 (10)
      • ►  avril 2012 (13)
      • ►  mars 2012 (15)
      • ►  février 2012 (15)
      • ►  janvier 2012 (12)
    • ►  2011 (146)
      • ►  décembre 2011 (14)
      • ►  novembre 2011 (11)
      • ►  octobre 2011 (12)
      • ►  septembre 2011 (13)
      • ►  août 2011 (15)
      • ►  juillet 2011 (17)
      • ►  juin 2011 (18)
      • ►  mai 2011 (15)
      • ►  avril 2011 (9)
      • ►  mars 2011 (7)
      • ►  février 2011 (3)
      • ►  janvier 2011 (12)
    • ►  2010 (398)
      • ►  décembre 2010 (29)
      • ►  novembre 2010 (28)
      • ►  octobre 2010 (32)
      • ►  septembre 2010 (34)
      • ►  août 2010 (22)
      • ►  juillet 2010 (35)
      • ►  juin 2010 (42)
      • ►  mai 2010 (36)
      • ►  avril 2010 (37)
      • ►  mars 2010 (34)
      • ►  février 2010 (32)
      • ►  janvier 2010 (37)
    • ▼  2009 (430)
      • ►  décembre 2009 (32)
      • ►  novembre 2009 (34)
      • ►  octobre 2009 (33)
      • ►  septembre 2009 (37)
      • ►  août 2009 (37)
      • ►  juillet 2009 (39)
      • ▼  juin 2009 (38)
        • Clone de lightbox pour jQuery
        • Nouveautés cette semaine
        • Thèmes pour Notepad++
        • Trouver de l'emploi en web au Québec ?
        • Citation no. 36 sur le silence
        • SSH2 : capturer le résultat d'une commande
        • Michael Jackson renaît grâce à son sosie !
        • Personnaliser les extensions de fichiers web
        • Remplacer APC par Zend_Cache
        • APC cache pour optimiser la performance
        • Norton Antivirus expire en direct chez Fox
        • Code source du Kindle d'Amazon
        • Netbeans et l'encodage UTF-8
        • Disque dur de 15 mega-octets de Radio Shack
        • Filtres de fichiers pour FileZilla FTP
        • Citation no. 35 sur l'histoire
        • Exclure les fichiers de projets avec TortoiseSVN
        • Mario Lemieux, un fin connaisseur de l'informatique ?
        • Commentaire sur la création de WSDL en PHP
        • Queue de fonctions en JavaScript
        • Équivalences Ajax avec jQuery et Prototype
        • Magazine Maximum PC en PDF
        • Film Home de Yann Arthus-Bertrand
        • Citation no. 34 sur la responsabilité
        • 6 destinations vacances aux noms insolites
        • À propos des chargés de projets
        • Astuce SQL pour remplacer les sous-requêtes
        • Message créatif et original de CD Baby
        • Composant HTML Purifier
        • Facebook mal programmé ?
        • Enregistrer des disques vinyls sur son ordinateur
        • Citation no. 33 sur les risques du travail
        • Full Text Search PostgreSQL
        • Lois du travail de Dilbert
        • Convertir Windows XP Home à Professional
        • Un site web all dressed avec bacon
        • 3 façons de construire une query string en PHP
        • Retirer un site malicieux de l'index Google
      • ►  mai 2009 (37)
      • ►  avril 2009 (35)
      • ►  mars 2009 (37)
      • ►  février 2009 (32)
      • ►  janvier 2009 (39)
    • ►  2008 (84)
      • ►  décembre 2008 (34)
      • ►  novembre 2008 (39)
      • ►  octobre 2008 (11)

    Abonnés

Copyright © All Rights Reserved. Code 18 | Converted into Blogger Templates by Theme Craft