Laravel开发：解决HTMLPurifier移除HTML id 属性的问题

本教程旨在解决laravel应用中，htmlpurifier在处理html内容时自动移除html `id` 属性的问题。文章将揭示该行为的根源，并提供明确的配置指南，演示如何通过设置`attr.enableid`参数，确保html内容的`id`属性在数据处理和存储过程中得以完整保留，从而维护前端交互和样式的正确性。适用于在cms等场景中需要精确控制html结构的开发者。

问题背景与现象

在开发基于Laravel的内容管理系统（CMS）或任何涉及用户提交富文本内容的应用程序时，开发者可能会遇到一个常见且令人困惑的现象：尽管前端富文本编辑器（如TinyMCE）能够正确生成并发送带有id属性的HTML内容，但在数据保存至数据库后，这些id属性却神秘地从HTML标签中消失了。

例如，用户通过编辑器提交的HTML可能包含一个带有id属性的div标签：

<div id="agreement">这是一段包含ID属性的文本。</div>

然而，当这段内容经过Laravel应用的处理并最终存储在数据库中，然后再次取出时，id属性却被移除了：

<div>这是一段包含ID属性的文本。</div>

通过调试请求数据 (dd($request)) 可以确认，id属性在请求到达控制器时是完整无缺的。这表明问题并非出在前端提交或请求传输环节，而是发生在后端数据处理的某个阶段。

立即学习“前端免费学习笔记（深入）”；

问题根源：HTMLPurifier的默认行为

深入排查后，我们发现问题的核心在于HTMLPurifier库。HTMLPurifier是一个功能强大的HTML过滤库，其主要目的是通过严格的白名单机制来清理和净化用户提交的HTML内容，以有效防止跨站脚本攻击（XSS）等多种安全漏洞。它的设计哲学是“安全优先”，这意味着任何可能带来安全风险或未被明确允许的HTML标签或属性，都会在默认情况下被移除。

尽管id属性在大多数情况下是无害的，但在极致安全的考量下，HTMLPurifier的默认配置可能将其视为潜在的风险点或非标准行为，因此将其移除。这正是导致HTML内容中id属性丢失的根本原因。

在示例控制器代码中，HTMLPurifier被实例化并用于净化用户输入：

$purifier = new \HTMLPurifier();
// ...
$inputContentValue[$keyName] = $purifier->purify($input);

这里的关键在于new \HTMLPurifier()，它使用了HTMLPurifier的默认配置。而默认配置并未明确启用id属性的保留，从而导致了该属性在净化过程中被剥离。

解决方案：配置HTMLPurifier以保留id属性

要解决id属性被移除的问题，我们需要明确地告知HTMLPurifier允许并保留id属性。这可以通过创建一个自定义的HTMLPurifier配置对象来实现。

Tago AI

AI生成带货视频，专为电商卖货而生

下载

HTMLPurifier通过HTMLPurifier_Config类来管理其各项配置。要启用id属性的保留，我们需要将Attr.EnableID参数设置为true。

以下是具体的解决方案代码：

use HTMLPurifier_Config; // 确保在文件顶部引入该类
use HTMLPurifier;       // 确保在文件顶部引入该类

// 创建HTMLPurifier配置对象，基于默认配置
$config = HTMLPurifier_Config::createDefault();

// 启用ID属性的保留
$config->set('Attr.EnableID', true);

// 使用自定义配置实例化HTMLPurifier
$purifier = new HTMLPurifier($config);

// 现在，使用这个配置后的purifier来净化HTML内容
$inputContentValue[$keyName] = $purifier->purify($input);

将解决方案集成到Laravel控制器

根据上述解决方案，我们可以修改原有的Laravel控制器代码，使其能够正确保留HTML内容的id属性。

<?php

namespace App\Http\Controllers;

use Illuminate\Http\Request;
use App\Models\Frontend; // 确保引入你的模型
use HTMLPurifier_Config; // 引入HTMLPurifier配置类
use HTMLPurifier;       // 引入HTMLPurifier主类

class YourController extends Controller
{
    public function frontendContent(Request $request, $key)
    {
        // ... 其他验证和初始化代码 ...

        $valInputs = $request->except('_token', 'image_input', 'key', 'status', 'type');
        $inputContentValue = [];

        // 配置HTMLPurifier以保留ID属性
        $config = HTMLPurifier_Config::createDefault();
        $config->set('Attr.EnableID', true);
        $purifier = new HTMLPurifier($config); // 使用引入的类名实例化

        foreach ($valInputs as $keyName => $input) {
            if (gettype($input) == 'array') {
                $inputContentValue[$keyName] = $input;
                continue;
            }
            // 使用配置后的purifier进行净化
            $inputContentValue[$keyName] = $purifier->purify($input);
        }

        // ... 后续逻辑，如图片上传、模型查找或创建等 ...

        if ($request->id) {
            $content = Frontend::findOrFail($request->id);
        } else {
            $content = Frontend::where('data_keys', $key . '.' . $request->type)->first();
            if (!$content || $request->type == 'element') {
                $content = Frontend::create(['data_keys' => $key . '.' . $request->type]);
            }
        }

        // ... 其他内容处理，例如图片上传逻辑 ...

        // 更新模型数据
        $content->update(['data_values' => $inputContentValue]);
        $notify[] = ['success', 'Content has been updated.'];
        return back()->withNotify($notify);
    }
}

通过上述修改，当HTMLPurifier处理$input内容时，它将遵循新的配置，从而正确保留所有有效的id属性，确保HTML内容的完整性。

注意事项与最佳实践

1. 安全性考量: 启用Attr.EnableID会允许HTMLPurifier保留id属性。虽然id属性本身通常不构成直接的XSS威胁，但它可能与其他前端脚本结合使用，从而在特定场景下产生安全隐患。HTMLPurifier的核心价值在于其严格的白名单机制，即使启用了id属性，它仍然会过滤掉其他不安全的标签和属性。在使用HTMLPurifier时，开发者应始终权衡功能需求与潜在的安全风险。

2. 全局配置与重用: 如果你的应用在多个地方使用HTMLPurifier，并且都需要保留id属性，建议将HTMLPurifier的配置和实例化过程抽象为一个可重用的服务提供者（Service Provider）或辅助函数。这样可以避免在每个控制器中重复相同的配置代码，提高代码的可维护性和一致性。

   • 示例 (使用服务提供者): 首先，创建一个服务提供者（例如 app/Providers/HtmlPurifierServiceProvider.php）：

     <?php
     
     namespace App\Providers;
     
     use Illuminate\Support\ServiceProvider;
     use HTMLPurifier_Config;
     use HTMLPurifier;
     
     class HtmlPurifierServiceProvider extends ServiceProvider
     {
         public function register()
         {
             // 将HTMLPurifier实例注册为单例
             $this->app->singleton(HTMLPurifier::class, function ($app) {
                 $config = HTMLPurifier_Config::createDefault();
                 $config->set('Attr.EnableID', true);
                 // 你可以根据需要添加其他全局配置，例如允许特定的HTML标签
                 // $config->set('HTML.Allowed', 'p,b,a[href],i,strong,em,ul,ol,li');
                 return new HTMLPurifier($config);
             });
         }
     
         public function boot()
         {
             //
         }
     }

     然后，在config/app.php文件的providers数组中注册这个Service Provider：

     // config/app.php
     'providers' => [
         // ...
         App\Providers\HtmlPurifierServiceProvider::class,
     ],

     在控制器中，你可以通过依赖注入的方式获取HTMLPurifier实例：

     <?php
     
     namespace App\Http\Controllers;
     
     use Illuminate\Http\Request;
     use HTMLPurifier; // 引入HTMLPurifier类
     
     class YourController extends Controller
     {
         // 通过构造函数注入HTMLPurifier实例
         protected $purifier;
     
         public function __construct(HTMLPurifier $purifier)
         {
             $this->purifier = $purifier;
         }
     
         public function frontendContent(Request $request, $key)
         {
             // ...
             foreach ($valInputs as $keyName => $input) {
                 if (gettype($input) == 'array') {
                     $inputContentValue[$keyName] = $input;
                     continue;
                 }
                 // 使用注入的purifier实例进行净化
                 $inputContentValue[$keyName] = $this->purifier->purify($input);
             }
             // ...
         }
     }

3. 其他属性或标签的保留: 如果除了id属性，你还需要保留其他特定的HTML属性（如class、style）或标签（如iframe