SVG-Sanitizer
这是我尝试在PHP中构建不错的svg sanitizer尝试。这项工作主要是从Dompurify借来的。
安装
要么需要通过作曲家enshrined/svg-sanitize ,要么下载仓库,并包括旧方法!
用法
使用此功能相当容易。创建一个新的实例enshrined\\svgSanitize\\Sanitizer ,然后在肮脏的svg/xml中调用sanitize
基本示例
use enshrined \\ svgSanitize \\ Sanitizer ; // Create a new sanitizer instance $ sanitizer = new Sanitizer (); // Load the dirty svg $ dirtySVG = file_get_contents ( \' filthy.svg \' ); // Pass it to the sanitizer and get it back clean $ cleanSVG = $ sanitizer -> sanitize ( $ dirtySVG ); // Now do what you want with your clean SVG/XML data
输出
如果XML解析失败(通常是由于格式不佳的文件,则将返回消毒的SVG/XML字符串或布尔值false 。
选项
您可以分别使用Sanitizer::setAllowedTags和Sanitizer::setAllowedAttrs方法传递自己的标签和属性白名单。
这些方法要求您实现enshrined\\svgSanitize\\data\\TagInterface或enshrined\\svgSanitize\\data\\AttributeInterface 。
删除远程引用
您可以选择删除引用远程文件的属性,这将停止HTTP泄漏,但会在消毒器中添加开销。
此默认为false,设置为true以删除引用。
$sanitizer->removeRemoteReferences(true);
查看消毒问题
您可以使用getXmlIssues()方法来返回消毒过程中发生的一系列问题。
这对于记录或向用户提供了有关为什么拒绝SVG的反馈很有用。
$issues = $sanitizer->getXmlIssues();
缩小
您可以通过调用$sanitizer->minify(true); 。
演示
有一个演示可用:http://svg.enshrined.co.uk/
WordPress
我刚刚发布了一个包含此代码的WordPress插件,因此您可以对WordPress上传进行消毒。它可从WordPress插件目录提供:https://wordpress.org/plugins/safe-svg/
Drupal
迈克尔·波特(Michael Potter)为此库创建了一个Drupal模块,可在以下网址提供:https://www.drupal.org/project/project/svg_sanitizer
Typo3
此svg sanitizer库在Typo3 V9和更高版本的核心中使用。有关更多详细信息,请参见相应的ChangElog条目。
测试
您可以通过此软件包的基本目录运行vendor/bin/phpunit来运行这些。
通过CLI独立扫描文件
多亏了Gudmdharalds的工作,现在有一个独立的扫描仪可以通过CLI使用。
任何错误都将以JSON格式输出。请参阅PR以获取示例。
使用如下: php svg-scanner.php ~/svgs/myfile.svg
待办事项
SVGS/XML的更广泛测试很可爱,我会尽快添加这些测试。如果您想为我做,请做并制作公关!
