Я использую очиститель HTML (http://htmlpurifier.org/)
Я просто хочу удалить только теги <script>. Я не хочу удалять встроенное форматирование или что-то еще.
Как я могу этого добиться?
Еще одна вещь, есть ли другой способ удалить теги скрипта из HTML
Поскольку этот вопрос помечен тегами regex, я собираюсь ответить бедным решением в этой ситуации:
$html = preg_replace('#<script(.*?)>(.*?)</script>#is', '', $html);
Однако регулярные выражения не предназначены для синтаксического анализа HTML / XML, даже если вы напишете идеальное выражение, оно в конечном итоге сломается, оно того не стоит, хотя в некоторых случаях полезно быстро исправить некоторую разметку и как это бывает с быстрыми исправлениями, забудьте о безопасности. Используйте регулярное выражение только для контента / разметки, которым вы доверяете.
Помните, что все, что вводит пользователь, следует считать небезопасным.
Лучшим решением здесь было бы использовать DOMDocument, который предназначен для этого. Вот фрагмент, демонстрирующий, насколько легко, чисто (по сравнению с регулярным выражением), (почти) надежно и (почти) безопасно делать то же самое:
<?php
$html = <<<HTML
...
HTML;
$dom = new DOMDocument();
$dom->loadHTML($html);
$script = $dom->getElementsByTagName('script');
$remove = [];
foreach($script as $item)
{
$remove[] = $item;
}
foreach ($remove as $item)
{
$item->parentNode->removeChild($item);
}
$html = $dom->saveHTML();
Я удалил HTML намеренно, потому что даже это может сработать.
prey_replace несколько раз, пока результат не перестанет меняться (улавливает пример ввода от @ParijatKalia).
- person Mark; 22.08.2013
foreachloops? Почему не просто foreach($scripts as $script){$script->parentNode->removeChild($script);}?
- person Arth; 16.12.2014
/ в </script, иначе он будет рассматривать конец как модификаторы: ОШИБКА: Неизвестный модификатор 'c'
- person Kyborek; 25.11.2016
<div> <script> var str = '</div>this does NOT get removed'; </script> </div>
- person Matthew Kolb; 28.09.2018
<SCRIPT>alert(123)</SCRIPT> заглавных или смешанных тегов?
- person Zsolt Janes; 09.04.2020
Используйте парсер DOMDocument PHP.
$doc = new DOMDocument();
// load the HTML string we want to strip
$doc->loadHTML($html);
// get all the script tags
$script_tags = $doc->getElementsByTagName('script');
$length = $script_tags->length;
// for each tag, remove it from the DOM
for ($i = 0; $i < $length; $i++) {
$script_tags->item($i)->parentNode->removeChild($script_tags->item($i));
}
// get the HTML string back
$no_script_html_string = $doc->saveHTML();
Это помогло мне использовать следующий HTML-документ:
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>
hey
</title>
<script>
alert("hello");
</script>
</head>
<body>
hey
</body>
</html>
Просто имейте в виду, что для парсера DOMDocument требуется PHP 5 или выше.
Warning: DOMDocument::loadHTML() [domdocument.loadhtml]: Tag myCustomTag invalid in Entity. Все перепробовал. Все, что я хочу сделать, это удалить теги сценария для одной крошечной части приложения (без тратить на это больше времени). Я собираюсь использовать preg_replace, и все. Я не хочу больше об этом слышать. :)
- person Yes Barry; 07.12.2011
'Fatal error: Call to a member function removeChild() on null', если у вас будет пустой тег, например <script src="..."></script>
- person SPi; 01.07.2015
// load HTML $dom = new DOMDocument; $dom->loadHTML($html_to_parse); // remove all scripts while (true) { $script = $dom->getElementsByTagName('script')->item(0); if ($script != NULL) { $script->parentNode->removeChild($script); } else { break; } }
- person Paul; 07.09.2016
<div> <script> var str = '</div>this does NOT get removed'; </script> </div>
- person Matthew Kolb; 28.09.2018
Простой способ манипулировать строкой.
$str = stripStr($str, '<script', '</script>');
function stripStr($str, $ini, $fin)
{
while(($pos = mb_stripos($str, $ini)) !== false)
{
$aux = mb_substr($str, $pos + mb_strlen($ini));
$str = mb_substr($str, 0, $pos).mb_substr($aux, mb_stripos($aux, $fin) + mb_strlen($fin));
}
return $str;
}
Я бы использовал BeautifulSoup, если он доступен. Делает такие вещи очень легкими.
Не пытайтесь делать это с помощью регулярных выражений. В этом безумие.
Я боролся с этим вопросом. Я обнаружил, что вам действительно нужна только одна функция. взорваться ('>', $ html); Единственный общий знаменатель для любого тега - ‹и>. После этого обычно используются кавычки ("). Вы можете так легко извлечь информацию, как только найдете общий знаменатель. Вот что я придумал:
$html = file_get_contents('http://some_page.html');
$h = explode('>', $html);
foreach($h as $k => $v){
$v = trim($v);//clean it up a bit
if(preg_match('/^(<script[.*]*)/ius', $v)){//my regex here might be questionable
$counter = $k;//match opening tag and start counter for backtrace
}elseif(preg_match('/([.*]*<\/script$)/ius', $v)){//but it gets the job done
$script_length = $k - $counter;
$counter = 0;
for($i = $script_length; $i >= 0; $i--){
$h[$k-$i] = '';//backtrace and clear everything in between
}
}
}
for($i = 0; $i <= count($h); $i++){
if($h[$i] != ''){
$ht[$i] = $h[$i];//clean out the blanks so when we implode it works right.
}
}
$html = implode('>', $ht);//all scripts stripped.
echo $html;
Я вижу, что это действительно работает только для тегов сценариев, потому что у вас никогда не будет вложенных тегов сценариев. Конечно, вы можете легко добавить дополнительный код, который выполняет ту же проверку и собирает вложенные теги.
Я называю это кодированием аккордеона. implode (); взорваться (); - это самый простой способ развить логику, если у вас есть общий знаменатель.
Короче:
$html = preg_replace("/<script.*?\/script>/s", "", $html);
При выполнении регулярного выражения что-то может пойти не так, поэтому безопаснее сделать так:
$html = preg_replace("/<script.*?\/script>/s", "", $html) ? : $html;
Чтобы в случае «аварии» мы получили исходный $ html вместо пустой строки.
проблема со стрелками тегов скрипта в том, что у них может быть более одного варианта
бывший. (‹=
<=&lt;) & (> =>=&gt;)
поэтому вместо создания массива шаблонов с вариантом bazillion, имхо лучшим решением было бы
return preg_replace('/script.*?\/script/ius', '', $text)
? preg_replace('/script.*?\/script/ius', '', $text)
: $text;
это удалит все, что выглядит как script.../script, независимо от кода / варианта стрелки, и вы можете проверить это здесь https://regex101.com/r/lK6vS8/1
Пример изменения ответа ctf0. Это должно выполнить preg_replace только один раз, но также проверить наличие ошибок и заблокировать код символа для прямой косой черты.
$str = '<script> var a - 1; </script>';
$pattern = '/(script.*?(?:\/|/|/)script)/ius';
$replace = preg_replace($pattern, '', $str);
return ($replace !== null)? $replace : $str;
Если вы используете php 7, вы можете использовать оператор объединения null, чтобы еще больше упростить его.
$pattern = '/(script.*?(?:\/|/|/)script)/ius';
return (preg_replace($pattern, '', $str) ?? $str);
Это упрощенный вариант ответа Деяна Марьяновича:
function removeTags($html, $tag) {
$dom = new DOMDocument();
$dom->loadHTML($html);
foreach (iterator_to_array($dom->getElementsByTagName($tag)) as $item) {
$item->parentNode->removeChild($item);
}
return $dom->saveHTML();
}
Может использоваться для удаления любых тегов, включая <script>:
$scriptlessHtml = removeTags($html, 'script');
function remove_script_tags($html){
$dom = new DOMDocument();
$dom->loadHTML($html);
$script = $dom->getElementsByTagName('script');
$remove = [];
foreach($script as $item){
$remove[] = $item;
}
foreach ($remove as $item){
$item->parentNode->removeChild($item);
}
$html = $dom->saveHTML();
$html = preg_replace('/<!DOCTYPE.*?<html>.*?<body><p>/ims', '', $html);
$html = str_replace('</p></body></html>', '', $html);
return $html;
}
Ответ Деяна был хорош, но saveHTML () добавляет ненужные теги doctype и body, это должно избавить от него. См. https://3v4l.org/82FNP.
loadHTML(...) функция добавляет это. См. LIBXML_HTML_NODEFDTD и LIBXML_HTML_NOIMPLIED здесь: php.net/manual/en/libxml.constants. php
- person James Anderson Jr.; 08.05.2020
Попробуйте это полное и гибкое решение. Он работает отлично и частично основан на некоторых предыдущих ответах, но содержит дополнительные проверки и избавляет от дополнительного подразумеваемого HTML из функции loadHTML(...). Он разделен на две отдельные функции (одна с предыдущей зависимостью, поэтому не переупорядочивайте / не переставляйте), поэтому вы можете использовать ее с несколькими тегами HTML, которые вы хотите удалить одновременно (т. Е. Не только 'script' теги). Например, функция removeAllInstancesOfTag(...) принимает array имен тегов или, возможно, только одно как string. Итак, без лишних слов, вот код:
/* Remove all instances of a particular HTML tag (e.g. <script>...</script>) from a variable containing raw HTML data. [BEGIN] */
/* Usage Example: $scriptless_html = removeAllInstancesOfTag($html, 'script'); */
if (!function_exists('removeAllInstancesOfTag'))
{
function removeAllInstancesOfTag($html, $tag_nm)
{
if (!empty($html))
{
$html = mb_convert_encoding($html, 'HTML-ENTITIES', 'UTF-8'); /* For UTF-8 Compatibility. */
$doc = new DOMDocument();
$doc->loadHTML($html,LIBXML_HTML_NOIMPLIED|LIBXML_HTML_NODEFDTD|LIBXML_NOWARNING);
if (!empty($tag_nm))
{
if (is_array($tag_nm))
{
$tag_nms = $tag_nm;
unset($tag_nm);
foreach ($tag_nms as $tag_nm)
{
$rmvbl_itms = $doc->getElementsByTagName(strval($tag_nm));
$rmvbl_itms_arr = [];
foreach ($rmvbl_itms as $itm)
{
$rmvbl_itms_arr[] = $itm;
};
foreach ($rmvbl_itms_arr as $itm)
{
$itm->parentNode->removeChild($itm);
};
};
}
else if (is_string($tag_nm))
{
$rmvbl_itms = $doc->getElementsByTagName($tag_nm);
$rmvbl_itms_arr = [];
foreach ($rmvbl_itms as $itm)
{
$rmvbl_itms_arr[] = $itm;
};
foreach ($rmvbl_itms_arr as $itm)
{
$itm->parentNode->removeChild($itm);
};
};
};
return $doc->saveHTML();
}
else
{
return '';
};
};
};
/* Remove all instances of a particular HTML tag (e.g. <script>...</script>) from a variable containing raw HTML data. [END] */
/* Remove all instances of dangerous and pesky <script> tags from a variable containing raw user-input HTML data. [BEGIN] */
/* Prerequisites: 'removeAllInstancesOfTag(...)' */
if (!function_exists('removeAllScriptTags'))
{
function removeAllScriptTags($html)
{
return removeAllInstancesOfTag($html, 'script');
};
};
/* Remove all instances of dangerous and pesky <script> tags from a variable containing raw user-input HTML data. [END] */
А вот пример использования test:
$html = 'This is a JavaScript retention test.<br><br><span id="chk_frst_scrpt">Congratulations! The first \'script\' tag was successfully removed!</span><br><br><span id="chk_secd_scrpt">Congratulations! The second \'script\' tag was successfully removed!</span><script>document.getElementById("chk_frst_scrpt").innerHTML = "Oops! The first \'script\' tag was NOT removed!";</script><script>document.getElementById("chk_secd_scrpt").innerHTML = "Oops! The second \'script\' tag was NOT removed!";</script>';
echo removeAllScriptTags($html);
Надеюсь, мой ответ кому-то действительно поможет. Наслаждаться!
mysql_*функции в php. - person Madara's Ghost schedule 20.08.2011