wp_kses_attr函数用于对HTML属性进行过滤,将不安全的内容转义或删除。它的用法如下:
$string = wp_kses_attr( $string, $allowed_html, $allowed_protocols );
参数说明:
- $string(必须):要过滤的HTML属性字符串。
- $allowed_html(可选):允许的HTML标签和属性的白名单。默认为一个空数组,表示不允许任何标签和属性。可以使用wp_kses_allowed_html函数获取默认的白名单。
- $allowed_protocols(可选):允许的协议名称的数组。默认为一个空数组,表示不允许任何协议。
返回值:
返回过滤后的HTML属性字符串。
示例用法:
$attr_string = 'href="javascript:alert('XSS')" title="Click Me"';
$allowed_html = array(
'a' => array(
'href' => array(),
'title' => array()
)
);
$filtered_attr = wp_kses_attr( $attr_string, $allowed_html );
echo $filtered_attr;
输出结果为:
html
href="javascript:alert('XSS')" title="Click Me"
在这个例子中,$attr_string中包含一个不安全的javascript链接,在过滤时被转义了。只有a标签的href和title属性被允许,其他的属性被过滤掉了。
0 个评论