用正则表达式过滤HTML标签

import java.util.regex.Matcher

import java.util.regex.Pattern

/**

* <p>

* Title: HTML相关的正则表达式工具类

* </p>

* <p>

* Description: 包括过滤HTML标记，转换HTML标记，替换特定HTML标记

* </p>

* <p>

* Copyright: Copyright (c) 2006

* </p>

*

* @author hejian

* @version 1.0

* @createtime 2006-10-16

*/

public class HtmlRegexpUtil {

private final static String regxpForHtml = "<([^>]*)>"// 过滤所有以<开头以>结尾的标签

private final static String regxpForImgTag = "<\\s*img\\s+([^>]*)\\s*>"// 找出IMG标签

private final static String regxpForImaTagSrcAttrib = "src=\"([^\"]+)\""// 找出IMG标签的SRC属性

/**

*

*/

public HtmlRegexpUtil() {

// TODO Auto-generated constructor stub

}

/**

*

* 基本功能：替换标记以正常显示

* <p>

*

* @param input

* @return String

*/

public String replaceTag(String input) {

if (!hasSpecialChars(input)) {

return input

}

StringBuffer filtered = new StringBuffer(input.length())

char c

for (int i = 0i <= input.length() - 1i++) {

c = input.charAt(i)

switch (c) {

case '<':

filtered.append("<")

break

case '>':

filtered.append(">")

break

case '"':

filtered.append(""")

break

case '&':

filtered.append("&")

break

default:

filtered.append(c)

}

}

return (filtered.toString())

}

/**

*

* 基本功能：判断标记是否存在

* <p>

*

* @param input

* @return boolean

*/

public boolean hasSpecialChars(String input) {

boolean flag = false

if ((input != null) &&(input.length() >0)) {

char c

for (int i = 0i <= input.length() - 1i++) {

c = input.charAt(i)

switch (c) {

case '>':

flag = true

break

case '<':

flag = true

break

case '"':

flag = true

break

case '&':

flag = true

break

}

}

}

return flag

}

/**

*

* 基本功能：过滤所有以"<"开头以">"结尾的标签

* <p>

*

* @param str

* @return String

*/

public static String filterHtml(String str) {

Pattern pattern = Pattern.compile(regxpForHtml)

Matcher matcher = pattern.matcher(str)

StringBuffer sb = new StringBuffer()

boolean result1 = matcher.find()

while (result1) {

matcher.appendReplacement(sb, "")

result1 = matcher.find()

}

matcher.appendTail(sb)

return sb.toString()

}

/**

*

* 基本功能：过滤指定标签

* <p>

*

* @param str

* @param tag

*指定标签

* @return String

*/

public static String fiterHtmlTag(String str, String tag) {

String regxp = "<\\s*" + tag + "\\s+([^>]*)\\s*>"

Pattern pattern = Pattern.compile(regxp)

Matcher matcher = pattern.matcher(str)

StringBuffer sb = new StringBuffer()

boolean result1 = matcher.find()

while (result1) {

matcher.appendReplacement(sb, "")

result1 = matcher.find()

}

matcher.appendTail(sb)

return sb.toString()

}

/**

*

* 基本功能：替换指定的标签

* <p>

*

* @param str

* @param beforeTag

*要替换的标签

* @param tagAttrib

*要替换的标签属性值

* @param startTag

*新标签开始标记

* @param endTag

*新标签结束标记

* @return String

* @如：替换img标签的src属性值为[img]属性值[/img]

*/

public static String replaceHtmlTag(String str, String beforeTag,

String tagAttrib, String startTag, String endTag) {

String regxpForTag = "<\\s*" + beforeTag + "\\s+([^>]*)\\s*>"

String regxpForTagAttrib = tagAttrib + "=\"([^\"]+)\""

Pattern patternForTag = Pattern.compile(regxpForTag)

Pattern patternForAttrib = Pattern.compile(regxpForTagAttrib)

Matcher matcherForTag = patternForTag.matcher(str)

StringBuffer sb = new StringBuffer()

boolean result = matcherForTag.find()

while (result) {

StringBuffer sbreplace = new StringBuffer()

Matcher matcherForAttrib = patternForAttrib.matcher(matcherForTag

.group(1))

if (matcherForAttrib.find()) {

matcherForAttrib.appendReplacement(sbreplace, startTag

+ matcherForAttrib.group(1) + endTag)

}

matcherForTag.appendReplacement(sb, sbreplace.toString())

result = matcherForTag.find()

}

matcherForTag.appendTail(sb)

return sb.toString()

}

}

方法一 : 禁用HTML

最简单的方法是直接禁用html标签而不用移除它们. 可以使用Replace()函数. 例如:

strText = Replace(strText, "<script", "<script", 1, -1, 1)

或者直接禁用所有的html:

strText = Replace(strText, "<", "<")

这样做虽然很安全,但显得不够友好.(用户提交的文本会变得难以阅读)

方法二: 使用"<"和">"

怎样使得html标签从文本中消失呢? 我们可以去掉"<"和">"中间的所有内容

在JavaScript中这很简单:

function RemoveHTML( strText )

{

var regEx = /<[^>]*>/g

return strText.replace(regEx, "")

}

现在回到VBScript, 对于Scripting引擎5.0或更高版本(可以通过调用ScriptEngineMajorVersion和ScriptEngineMinorVersion函数来检验版本),我们也可以使用RegExp物体:

Function RemoveHTML( strText )

Dim RegEx

Set RegEx = New RegExp

RegEx.Pattern = "<[^>]*>"

RegEx.Global = True

RemoveHTML = RegEx.Replace(strText, "")

End Function

若不用正则表达式,下面的函数可以达到同样的目的:

Function RemoveHTML( strText )

Dim nPos1

Dim nPos2

nPos1 = InStr(strText, "<")

Do While nPos1 >0

nPos2 = InStr(nPos1 + 1, strText, ">")

If nPos2 >0 Then

strText = Left(strText, nPos1 - 1) &Mid(strText, nPos2 + 1)

Else

Exit Do

End If

nPos1 = InStr(strText, "<")

Loop

RemoveHTML = strText

End Function

以上的方法虽然都可以去掉括号内的html标签,但是这些方法都存在以下问题:

首先,文本内的任何不表示html的尖括号会被去除.而且两个尖括号中间的文本也会被删掉.换句话说,在文本中插入任何"<"或">"都会出现不可预料的结果.

另外,这种方法不能控制删除哪些html标签.比如<b><i>这些无害的标签通常是允许的.

方法三:使用IE或其他工具

有很多缺点:

"It may be desirable to parse HTML files inside a Web server process in response to a browser page request. However, the WebBrowser control, DHTML Editing Control, MSHTML, and other Internet Explorer components may not function properly in an Active Server Pages (ASP) page or other application run in a Web server application." (http://support.microsoft.com/support/kb/articles/Q244/0/85.ASP?LN=EN-US&SD=gn&FR=0)

方法四:VBScript

以下的函数可以限制到具体的html标签

简介:

要控制被删除的标签列表,可以通过向TAGLIST常数中添加/删除标记来实现. 例如,要保留所有的<B>标签,则从TAGLIST中删除B. 当前的列表包含了MSDN中的所有html标签以及 LAYER 标签. 每个标签要用""括起来.

开始标签和结束标签都会被删除,例如"<A...>"和</A...>

若标签同时在 TAGLIST 和 BLOCKTAGLIST 常数中,则起始标签和结束标签之间的所有内容都会被删除

没有结束标记的标签不被视为html标签,其内容不会被删除

块标签若没有结尾标记,从此标签开始到文本结束的所有内容会被删除

若"<!--"后跟的字符不是空格,注释标签不会被删除

使用这个函数很简单:

strPlainText = RemoveHTML(strTextWithHTML)

函数内容如下:

Function RemoveHTML( strText )

Dim TAGLIST

TAGLIST = "!--!DOCTYPEAACRONYMADDRESSAPPLETAREABBASEBASEFONT" &_

"BGSOUNDBIGBLOCKQUOTEBODYBRBUTTONCAPTIONCENTERCITECODE" &_

"COLCOLGROUPCOMMENTDDDELDFNDIRDIVDLDTEMEMBEDFIELDSET" &_

"FONTFORMFRAMEFRAMESETHEADH1H2H3H4H5H6HRHTMLIIFRAMEIMG" &_

"INPUTINSISINDEXKBDLABELLAYERLAGENDLILINKLISTINGMAPMARQUEE" &_

"MENUMETANOBRNOFRAMESNOSCRIPTOBJECTOLOPTIONPPARAMPLAINTEXT" &_

"PREQSSAMPSCRIPTSELECTSMALLSPANSTRIKESTRONGSTYLESUBSUP" &_

"TABLETBODYTDTEXTAREATFOOTTHTHEADTITLETRTTUULVARWBRXMP"

Const BLOCKTAGLIST = "APPLETEMBEDFRAMESETHEADNOFRAMESNOSCRIPTOBJECTSCRIPTSTYLE"

Dim nPos1

Dim nPos2

Dim nPos3

Dim strResult

Dim strTagName

Dim bRemove

Dim bSearchForBlock

nPos1 = InStr(strText, "<")

Do While nPos1 >0

nPos2 = InStr(nPos1 + 1, strText, ">")

If nPos2 >0 Then

strTagName = Mid(strText, nPos1 + 1, nPos2 - nPos1 - 1)

strTagName = Replace(Replace(strTagName, vbCr, " "), vbLf, " ")

nPos3 = InStr(strTagName, " ")

If nPos3 >0 Then

strTagName = Left(strTagName, nPos3 - 1)

End If

If Left(strTagName, 1) = "/" Then

strTagName = Mid(strTagName, 2)

bSearchForBlock = False

Else

bSearchForBlock = True

End If

If InStr(1, TAGLIST, "" &strTagName &"", vbTextCompare) >0 Then

bRemove = True

If bSearchForBlock Then

If InStr(1, BLOCKTAGLIST, "" &strTagName &"", vbTextCompare) >0 Then

nPos2 = Len(strText)

nPos3 = InStr(nPos1 + 1, strText, "</" &strTagName, vbTextCompare)

If nPos3 >0 Then

nPos3 = InStr(nPos3 + 1, strText, ">")

End If

If nPos3 >0 Then

nPos2 = nPos3

End If

End If

End If

Else

bRemove = False

End If

If bRemove Then

strResult = strResult &Left(strText, nPos1 - 1)

strText = Mid(strText, nPos2 + 1)

Else

strResult = strResult &Left(strText, nPos1)

strText = Mid(strText, nPos1 + 1)

End If

Else

strResult = strResult &strText

strText = ""

End If

nPos1 = InStr(strText, "<")

Loop

strResult = strResult &strText

RemoveHTML = strResult

End Function

HTMLPurifier使用了白名单过滤机制，只有被设置允许的才会通过检验。

基本过滤事例

a、过滤掉文本中的所有html标签

/**

* 过滤掉所有html标签很简单，原因则在白名单机制完成

*/

$config->set('HTML.Allowed', '')

b、保留超链接标签a及其href链接地址属性，并自动添加target属性值为’_blank’

$config->set('HTML.Allowed', 'a[href]')

$config->set('HTML.TargetBlank', true)

c、自动完成段落代码并清除掉无用的空标签

// 让文本自动添加段落标签，前提是必须允许P标签的使用

$config->set('HTML.Allowed', 'p')

$config->set('AutoFormat.AutoParagraph', true)

// 清除空标签

$config->set('AutoFormat.RemoveEmpty', true)

---