[Erledigt] Javascript-Filter

Lavalampe · 29.11.2008, 12:15

Ich schreibe im Moment eine Funktion, mit der ich aus einem String die JavaScript-Eventhandler entfernen kann.

Aus

Code:

"<img src=\"bild.png\" onClick=\"alert('foo')\"  border=\"1\">

soll

Code:

"<img src=\"bild.png\"   border=\"1\">"

werden. Mein Versuch:

Code:

$entry = eregi_replace("onclick([^\[]+)\"([^\[]+)\"", "", $entry);

Ergebnis ist aber:

Code:

"<img src=\"bild.png\" >"

Bis zum letzten " vor dem > wird alles weggeschnitten, nur wieso?

David · 29.11.2008, 12:37

eregi_replace() und die ganzen posix regular expressions solltest Du nicht mehr verwenden. Darauf wird im handbuch auch an einigen Stellen hingewiesen. Benutze statt dessen pcre.
Woher kommen die ganzen \ im Text?

robo47 · 29.11.2008, 12:43

Bevor du das Rad neu erfindest und eine der vielen Methoden die es gibt JS einzuschleisen nicht kennst, schau dir vielleicht mal HTML Purifier - Filter your HTML the standards-compliant way! an, das ist eine Bibliothek die dem Zweck dient html zu filtern um schadhaften Code zu entfernen, erlaubt nebenbei auch noch das html darauf zu filtern welchen Doctype man verwendet und so.

Manko10 · 29.11.2008, 12:45

Außerdem ist deine Prüfung unzureichend. Es gibt noch weitaus mehr EventHandler und der IE meint auch, Bildpfade, die mit javascript: anfangen, als JavaScript auswerten zu müssen.
Also entweder HTML Purifier verwenden (beste Lösung) oder mit einer Whitelist statt einer Blacklist arbeiten.

tomtaz · 29.11.2008, 14:31

Zitat:

Zitat von Der_Gerhard

Wie kann ich eigene Beiträge hier löschen? Ist der Button so gut versteckt?

Negativ, das können nur Moderatoren.

Lavalampe · 29.11.2008, 15:38

Das onclick war nur ein Beispiel, natürlich würde ich alle durchlaufen lassen. Die anderen Einbindungen sind ja nicht das Problem.

Habe jetzt htmlpurifier draufgehauen, und es ist einfach nur geil^^

Manko10 · 29.11.2008, 16:39

Zitat:

Das onclick war nur ein Beispiel, natürlich würde ich alle durchlaufen lassen. Die anderen Einbindungen sind ja nicht das Problem.

Das wäre aber eher aufwendig und außerdem bleibt immer ein relativ großes Restrsikio. Eine Whitelist ist da unabdingbar. HTML Purifier arbeitet übrigens auch mit Whitelists.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
JS: Einführung - Javascript im Schichtenmodell	nikosch	Tutorials	4	11.04.2009 17:06
[Erledigt] Nutzung von JavaScript sinnvoll?	Ramona86	JavaScript, Ajax und mehr	8	22.10.2008 11:13
http user mit Javascript abfrage	tennessee	HTML, Usability und Barrierefreiheit	3	31.10.2006 13:18
Hover mit Filter	pc-freak	HTML, Usability und Barrierefreiheit	7	28.09.2006 16:09
PHP + Javascript + MYSQL	socke	PHP Tipps 2006	4	02.04.2006 22:02
Ist JavaScript OOP sinnvoll?	HStev	HTML, Usability und Barrierefreiheit	2	26.01.2006 12:11
Variable wird geändert bei Übergabe an Javascript		PHP Tipps 2007	4	17.12.2005 16:53
[Erledigt] JavaScript & PHP (Bilderupload)		PHP-Fortgeschrittene	5	11.07.2005 17:08
Javascript ON/OFF	Connar	PHP Tipps 2005	3	03.04.2005 09:47
[Erledigt] JavaScript +mehrereFenster		HTML, Usability und Barrierefreiheit	5	03.02.2005 15:08
Formulare mit arrays mit php und gleichzeitig mit JavaScript		PHP-Fortgeschrittene	2	14.10.2004 15:33
Wert des Attributs "class" mit JavaScript dynamisc	Stümper	HTML, Usability und Barrierefreiheit	1	08.09.2004 10:33
JavaScript in JavaScript geschriebene Html-Datei einbinden.	woods	HTML, Usability und Barrierefreiheit	6	06.09.2004 18:33
Javascript		HTML, Usability und Barrierefreiheit	5	31.08.2004 18:30
php + Javascript, Variablenübergabe		PHP Tipps 2004	14	28.07.2004 15:42

29.11.2008, 12:15
Lavalampe Benutzer Registriert seit: 09.01.2008 Beiträge: 82	[Erledigt] Javascript-Filter Ich schreibe im Moment eine Funktion, mit der ich aus einem String die JavaScript-Eventhandler entfernen kann. Aus Code: "<img src=\"bild.png\" onClick=\"alert('foo')\" border=\"1\"> soll Code: "<img src=\"bild.png\" border=\"1\">" werden. Mein Versuch: Code: $entry = eregi_replace("onclick([^\[]+)\"([^\[]+)\"", "", $entry); Ergebnis ist aber: Code: "<img src=\"bild.png\" >" Bis zum letzten " vor dem > wird alles weggeschnitten, nur wieso? Geändert von Lavalampe (29.11.2008 um 12:26 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.11.2008, 12:37
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	eregi_replace() und die ganzen posix regular expressions solltest Du nicht mehr verwenden. Darauf wird im handbuch auch an einigen Stellen hingewiesen. Benutze statt dessen pcre. Woher kommen die ganzen \ im Text?

29.11.2008, 12:43
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	Bevor du das Rad neu erfindest und eine der vielen Methoden die es gibt JS einzuschleisen nicht kennst, schau dir vielleicht mal HTML Purifier - Filter your HTML the standards-compliant way! an, das ist eine Bibliothek die dem Zweck dient html zu filtern um schadhaften Code zu entfernen, erlaubt nebenbei auch noch das html darauf zu filtern welchen Doctype man verwendet und so. __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

29.11.2008, 12:45
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Außerdem ist deine Prüfung unzureichend. Es gibt noch weitaus mehr EventHandler und der IE meint auch, Bildpfade, die mit javascript: anfangen, als JavaScript auswerten zu müssen. Also entweder HTML Purifier verwenden (beste Lösung) oder mit einer Whitelist statt einer Blacklist arbeiten. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

29.11.2008, 15:38
Lavalampe Benutzer Registriert seit: 09.01.2008 Beiträge: 82	Das onclick war nur ein Beispiel, natürlich würde ich alle durchlaufen lassen. Die anderen Einbindungen sind ja nicht das Problem. Habe jetzt htmlpurifier draufgehauen, und es ist einfach nur geil^^