链接净化

Question

我有内部文本链接：

$va="Some text http://www.stackoverflow.com?var=1&var2=2 more text" 

当这种净化：

$config = HTMLPurifier_Config::createDefault(); 
$config->set('URI.MakeAbsolute', false); 
$config->set('HTML.SafeObject', true); 
$config->set('Output.FlashCompat', true); 
$config->set('URI.AllowedSchemes', 
     array (
        'http' => true, 
        'https' => true, 
        'mailto' => true 
       )); 
$def = $config->getHTMLDefinition(true); 
$def->addAttribute('a', 'target', 'Enum#_blank,_self,_target,_top'); 
$def->addAttribute('a', 'data-width', 'Text'); 
$def->addAttribute('a', 'data-height', 'Text'); 
$def->addAttribute('a', 'id', 'Text'); 
$def->addAttribute('a', 'name', 'Text'); 
$purifier = new HTMLPurifier($config); 
$va = $purifier->purify($va); 

净化取代我怎样才能防止这种情况的链接，<的性格&？

Answer 1

当我运行代码，我得到了想要的结果：

<?php 
ini_set('display_errors', TRUE); 
error_reporting(E_ALL); 

include_once 'library/HTMLPurifier.auto.php'; 

$raw = 'Some text http://www.stackoverflow.com?var=1&var2=2 more text'; 

$config = HTMLPurifier_Config::createDefault(); 
$config->set('URI.MakeAbsolute', false); 
$config->set('HTML.SafeObject', true); 
$config->set('Output.FlashCompat', true); 
$config->set('URI.AllowedSchemes', 
     array (
        'http' => true, 
        'https' => true, 
        'mailto' => true 
       )); 
$def = $config->getHTMLDefinition(true); 
$def->addAttribute('a', 'target', 'Enum#_blank,_self,_target,_top'); 
$def->addAttribute('a', 'data-width', 'Text'); 
$def->addAttribute('a', 'data-height', 'Text'); 
$def->addAttribute('a', 'id', 'Text'); 
$def->addAttribute('a', 'name', 'Text'); 
$purifier = new HTMLPurifier($config); 

echo $purifier->purify($raw); 

我得到

Some text http://www.stackoverflow.com?var=1&var2=2 more text 

注意，符号已经正确转义。它必须是代码中其他地方的错误。

Answer 2

我没有使用这个库，但我很好奇你为链接定义（$ def），并且从来没有将它设置在净化器上。

从我的角度考虑，将“<”字符列入白名单并不合适。如果配置正确，应该由净化器处理。