html · PHP笔记

## **Allowed** 许使用的元素和属性`element1[attr1|attr2],element2...`。例如，如果您只想允许段落和链接，请指定`a[href],p`。您可以使用星号指定适用于所有元素的属性，例如`*[lang]`。您也可以使用换行符代替逗号来分隔元素。 **警告**：组件指令上的所有约束仍将强制执行。语法是TinyMCE白名单的*子集*`valid_elements`：直接在此处复制粘贴可能会导致白名单损坏。如果设置了[％HTML.AllowedElements](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedElements)或[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)，则此伪指令无效。 ## **AllowedAttributes** 如果HTML Purifier的属性集不令人满意，请重载它！全局属性（样式，id，类，dir，lang，xml：lang）的语法为“ tag.attr”或“ \* .attr”。 **警告：**如果另一个指令与此处的元素冲突，则*该*指令将获胜并被覆盖。例如，在此伪指令中，[％HTML.EnableAttrID](http://htmlpurifier.org/live/configdoc/plain.html#HTML.EnableAttrID)将优先于\* .id。您必须先将该指令设置为true，然后才能使用ID。 ## **AllowedComments** 白名单，该白名单指示应允许哪些显式注释主体，以模数开头和结尾的空格为模。另请参见[％HTML.AllowedCommentsRegexp](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedCommentsRegexp)（这些指令结合在一起，因此，如果任何指令认为注释有效，则该注释被视为有效。） ## **AllowedCommentsRegexp** 一个正则表达式，如果它与注释的正文匹配，则表示应允许它。在运行此正则表达式之前，先删除尾随空格和前导空格。**警告：**请确保指定正确的锚元字符`^regex$`，否则您可能会接受您并非故意的注释！特别是，正则表达式`/foo|bar/`可能不够严格，因为它也允许`foobar`。另请参见[％HTML.AllowedComments](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedComments)（这些伪指令结合在一起，因此，如果任何伪指令认为其有效，则注释被视为有效。） ## **AllowedElements** 如果HTML Purifier的标签集不能满足您的需求，则可以使用自己允许的标签列表重载它。如果更改此设置，则可能还需要更改[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)；另请参见[％HTML.Allowed](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Allowed)，它允许您同时设置允许的元素和属性。如果尝试允许HTML Purifier不知道的元素，则HTML Purifier将引发错误。您将需要使用[高级自定义功能](http://htmlpurifier.org/docs/enduser-customize.html)来手动告知HTML Purifier有关此元素的信息[。](http://htmlpurifier.org/docs/enduser-customize.html) **警告：**如果另一个指令与此处的元素冲突，则*该*指令将获胜并被覆盖。 ## **AllowedModules** doctype附带了一组常用模块。无需费心使用doctype，您可以通过指定希望使用此伪指令允许的模块来快速激活或禁用这些模块。这对于单元测试特定模块最有用，尽管最终用户可能会发现对自己的目标有用。如果您指定了不存在的模块，则管理器将默默地使它无法使用，因此请小心！用户定义的模块不受此指令的影响。[％HTML.CoreModules](http://htmlpurifier.org/live/configdoc/plain.html#HTML.CoreModules)中定义的模块不受此指令的影响。 ## **Attr.Name.UseCDATA** 由于DTD的限制，W3C规范DTD将name属性定义为CDATA，而不是ID。在某些文档中，需要这种宽松的行为，无论是指定重复的名称还是指定将是非法ID的名称（例如，以数字开头的名称。）将此配置指令设置为true即可使用宽松的解析。规则。 ## **BlockWrapper** 元素的字符串名称，用于包装块上下文中的内联元素。这仅在严格模式下出现在blockquote的子级中。例如：按默认值，`<blockquote>Foo</blockquote>`将成为`<blockquote><p>Foo</p></blockquote>`。`<p>`只要标签是块级元素，就可以用任何您想要的标签替换标签。 ## **CoreModules** 某些模块化的doctype（即XHTML）具有必须包含的某些模块才能使doctype成为符合要求的文档类型：将这些模块放在此处。默认情况下，使用XHTML的核心模块。您可以将其设置为空白阵列以禁用核心模块保护，但是不建议这样做。 ## **CustomDoctype** 适用于定义了自己的文档类型的高级用户的自定义文档类型。仅在[％HTML.Doctype](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Doctype)为空白时，此指令才适用。 ## **DefinitionID** 自定义HTML定义的唯一标识符。如果编辑HTMLDefinition的原始版本，并引入配置对象未反映的更改，则必须指定此变量。如果更改自定义编辑，则应更改此指令或清除缓存。例： ~~~ $config = HTMLPurifier_Config::createDefault(); $config->set('HTML', 'DefinitionID', '1'); $def = $config->getHTMLDefinition(); $def->addAttribute('a', 'tabindex', 'Number'); ~~~ ## **DefinitionRev** [％HTML.DefinitionID中](http://htmlpurifier.org/live/configdoc/plain.html#HTML.DefinitionID)指定的自定义定义的修订标识符。这具有相同的目的：唯一地标识您的自定义定义，但是在时间顺序上是这样的：版本3比版本2更新得多。因此，当递增版本3时，缓存处理就足够聪明以清除定义的所有较旧版本，以及刷新缓存。 ## **Doctype** 过滤期间要使用的文档类型。从技术上讲，这实际上不是doctype（因为它不能标识相应的DTD），但是为了简单起见，我们使用此名称。当为非空白时，它将覆盖所有较旧的指令，例如[％HTML.XHTML](http://htmlpurifier.org/live/configdoc/plain.html#HTML.XHTML)或[％HTML.Strict](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Strict)。 ## **FlashAllowFullScreen** 是否允许[％HTML.SafeObject中的](http://htmlpurifier.org/live/configdoc/plain.html#HTML.SafeObject)嵌入式Flash内容扩展到全屏。对应于`allowFullScreen`参数。 ## **ForbiddenAttributes** 尽管此伪指令类似于[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)，但为了与XML具有向前兼容性，此属性具有不同的语法。代替`tag.attr`使用`tag@attr`。要禁止标记中的`href`属性`a`，请将此伪指令设置为`a@href`。您还可以使用`attr`或全局禁止属性`*@attr`（两种语法都不错；提供后者是为了与[％HTML.AllowedAttributes](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes)保持一致）。 **警告：**该指令是对[％HTML.ForbiddenElements的](http://htmlpurifier.org/live/configdoc/plain.html#HTML.ForbiddenElements)补充，因此，请查看该指令以获取有关在使用此指令之前应该三思而后行的讨论。 ## **ForbiddenElements** 也许这是HTML Purifier中最需要的功能。请不要滥用它！这是[％HTML.AllowedElements](http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedElements)的逻辑逆，它将覆盖该指令或任何其他指令。如果可能的话，建议在此伪指令上使用[％HTML.Allowed](http://htmlpurifier.org/live/configdoc/plain.html#HTML.Allowed)，因为有时很难判断您是否禁止了所有您要禁止的行为。如果您禁止`img`在您的网站上显示图片，那么当人们开始使用`background-image`CSS属性时，您将大吃一惊。 ## **MaxImgLength** 此伪指令控制`img`标记的width和height属性中的最大像素数。这样做是为了防止图像崩溃攻击，禁用null后果自负。该指令类似于[％CSS.MaxImgLength](http://htmlpurifier.org/live/configdoc/plain.html#CSS.MaxImgLength)，并且两者应同时进行编辑，尽管输入格式（HTML max是整数）存在细微的差异。 ## **Nofollow** 如果启用，则将nofollow rel属性添加到所有传出链接。 ## **Parent** HTML片段传递给库的元素的字符串名称将被插入。一个有趣的变化是使用span作为父元素，这意味着仅允许使用内联标签。 ## **Proprietary** HTML片段传递给库的元素的字符串名称将被插入。一个有趣的变化是使用span作为父元素，这意味着仅允许使用内联标签。 ## **SafeEmbed** 是否允许在文档中嵌入标签，并添加了许多额外的安全功能以防止脚本执行。这类似于MySpace这样的网站嵌入标签的方式。嵌入是专有元素，将导致您的网站停止验证；您应该先看看是否可以将[％Output.FlashCompat](http://htmlpurifier.org/live/configdoc/plain.html#Output.FlashCompat)与[％HTML.SafeObject](http://htmlpurifier.org/live/configdoc/plain.html#HTML.SafeObject)[结合](http://htmlpurifier.org/live/configdoc/plain.html#Output.FlashCompat)使用。 ## **SafeIframe** 是否允许在不受信任的文档中使用iframe代码。该指令必须随附允许的iframe的白名单，例如[％URI.SafeIframeRegexp](http://htmlpurifier.org/live/configdoc/plain.html#URI.SafeIframeRegexp)，否则将致命错误。该指令对严格的文档类型无效，因为iframe无效。 ## **SafeObject** 是否允许文档中的对象标签，并添加了许多额外的安全功能以防止脚本执行。这类似于MySpace等网站对对象标签所做的工作。您还应该启用[％Output.FlashCompat](http://htmlpurifier.org/live/configdoc/plain.html#Output.FlashCompat)，以便为对象标签生成Internet Explorer兼容性代码。 ## **SafeScripting** 是否允许脚本标记用于文档中的外部脚本。不允许使用内联脚本，并且脚本必须与明确的白名单匹配。 ## **TargetBlank** 如果启用，`target=blank`则将属性添加到所有传出链接。（这包括从页面的HTTPS版本到HTTP版本的链接。） ## **TargetNoopener** 如果启用，则将noopener rel属性添加到具有与其关联的目标属性的链接。这样可以防止恶意目标覆盖原始窗口。 ## **TargetNoreferrer** 如果启用，则不会将noreferrer rel属性添加到具有与其关联的目标属性的链接。这样可以防止恶意目标覆盖原始窗口。 ## **TidyAdd** 根据您的级别添加到默认Tidy修复程序集的修复程序。 ## **TidyLevel** Tidy模块应强制执行的总体清洁度。有四个允许的值： * none 无需额外整理 * light 仅修复由于缺乏文档类型支持而将被丢弃的元素 * medium 实施最佳做法 * heavy 将所有不推荐使用的元素和属性转换为符合标准的等效项 ## **TidyRemove** 根据您的级别从默认的Tidy修复程序集中删除的修复程序。 ## **Trusted** 指示用户输入是否受信任。如果输入是可信的，则将使用更多的允许标签和属性集。另请参见[％CSS.Trusted](http://htmlpurifier.org/live/configdoc/plain.html#CSS.Trusted)。