如何在HTML Purifier中允许href =\'javascript:myFunc()\'?
|
我有一些在本地编写的HTML,并且希望通过HTML净化器运行它。它完全由我生成,因此我知道没有XSS漏洞。我正在尝试通过净化器运行它,但是无论我尝试什么,都会解析href = \'javascript:myFunc()\'。
我当前的设置是:
$string = file_get_contents($myHTMLFile);
$schemes = array (
\'http\' => true,
\'https\' => true,
\'mailto\' => true,
\'ftp\' => true,
\'nntp\' => true,
\'news\' => true,
\'javascript\' => true,
);
$config = HTMLPurifier_Config::createDefault();
$config->set(\'URL.AllowedSchemes\', array($schemes));
$purifier = new HTMLPurifier($config);
$string = $purifier->purify($string);
这根本不起作用-剥夺了所有JavaScript。
我已经浏览了所有各种HTML Purifier配置设置,但找不到我需要的东西。有什么答案吗?
提前致谢
没有找到相关结果
已邀请:
1 个回复
糕泰灌