PHP安全HTML过滤库
HTML Purifier 是一个用 PHP 编写的标准兼容 HTML 过滤库,核心目标是在允许用户提交富文本 HTML 的同时,移除 XSS 等恶意代码,并尽可能保证输出符合 W3C 规范。它适合替代简单的 BBCode 或不完善的 HTML 过滤器,尤其适用于 CMS、论坛、邮件过滤、WYSIWYG 编辑器等需要处理用户生成内容的场景。
从防护类型看,HTML Purifier 主要聚焦应用层输入内容安全,采用经过审计的白名单机制,而不是依赖容易过时的黑名单。它会将文档分解为 token,移除非白名单元素,检查标签良构性和嵌套关系,并按照 RFC 校验属性。除安全过滤外,它还强调“清洁 HTML”,即对不规范 HTML 进行纠正处理。
部署方式上,它不是网关、WAF 或 SaaS,而是嵌入 PHP 应用的库。正文提供 zip、tar.gz 下载,并列出多个 CMS 与框架插件,包括 Drupal、WordPress、Joomla、CodeIgniter、Symfony、CakePHP、Elgg、SilverStripe 等。需要注意的是,第三方插件官方明确未做审计,集成时应自行评估风险。
正文显示项目为开源组件,未披露商业版、订阅价格、企业支持或支付方式。合规认证方面也未看到 SOC 2、ISO 27001、等保、GDPR 等认证信息,因此不应将其视为带有合规背书的安全产品。它更适合作为开发安全组件纳入应用安全体系,而不是独立合规解决方案。
优点是安全模型清晰,白名单策略更适合应对复杂 XSS 向量;同时兼顾 HTML 标准化,对富文本保留较友好;文档覆盖自定义标签、属性、URI 过滤器、缓存优化和高级 API。缺点是主要面向 PHP 技术栈;未见集中管理、告警、审计报表和 SLA;官方也提示它可能与现有 JavaScript 交互不佳,并可能在事后引入漏洞。
它适合有 PHP 开发能力、需要让用户安全提交 HTML 的网站和内容系统团队,尤其是中小型 CMS、论坛、内部应用和邮件处理系统。若企业需要统一策略下发、运行时告警、商业支持或跨语言 SDK,则可能需要配合其他安全工具。中国访问情况正文未提供可验证信息,网络可达性、支付和本地替代品情况均无法判断。
本测评基于公开资料整理,不构成购买建议,请以 htmlpurifier.org 官网实际信息为准。
开源XSS防护库,适合处理用户富文本。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。