php正则如何去除js

# PHP正则如何去除JS

在Web开发中，经常需要处理HTML内容并去除其中的JavaScript代码。PHP作为广泛使用的服务器端脚本语言，提供了强大的正则表达式功能来实现这一需求。本文将详细介绍如何使用PHP正则表达式高效去除HTML中的JavaScript代码。

## 一、为什么需要去除JS

1. **安全考虑**  
   防止XSS攻击（跨站脚本攻击）
   过滤用户提交的含恶意脚本的内容

2. **内容净化**  
   在显示用户生成内容(UGC)时保证安全
   生成纯文本摘要时去除干扰元素

3. **性能优化**  
   减少不必要的客户端脚本执行
   加快页面解析速度

## 二、PHP正则去除JS的基本方法

### 1. 去除script标签及其内容

```php
function remove_js($html) {
    $pattern = '/<script\b[^>]*>([\s\S]*?)<\/script>/i';
    return preg_replace($pattern, '', $html);
}

2. 去除事件处理属性

function remove_event_attributes($html) {
    $pattern = '/\bon\w+=\s*(["\']).*?\1/i';
    return preg_replace($pattern, '', $html);
}

3. 去除javascript:伪协议

function remove_javascript_protocol($html) {
    $pattern = '/\bhref=\s*["\']javascript:.*?["\']/i';
    return preg_replace($pattern, 'href="#"', $html);
}

三、进阶处理方案

1. 组合多种过滤规则

function sanitize_html($html) {
    $patterns = [
        '/<script\b[^>]*>([\s\S]*?)<\/script>/i',
        '/\bon\w+=\s*(["\']).*?\1/i',
        '/\bhref=\s*["\']javascript:.*?["\']/i',
        '/<\?php(.*?)\?>/is' // 额外去除PHP代码
    ];
    
    $replacements = [
        '',
        '',
        'href="#"',
        ''
    ];
    
    return preg_replace($patterns, $replacements, $html);
}

2. 使用DOMDocument辅助处理

function remove_js_with_dom($html) {
    $dom = new DOMDocument();
    @$dom->loadHTML($html, LIBXML_HTML_NOIMPLIED | LIBXML_HTML_NODEFDTD);
    
    // 移除script标签
    $scripts = $dom->getElementsByTagName('script');
    while ($script = $scripts->item(0)) {
        $script->parentNode->removeChild($script);
    }
    
    // 移除事件属性
    $xpath = new DOMXPath($dom);
    foreach ($xpath->query('//@*[starts-with(name(), "on")]') as $attr) {
        $attr->ownerElement->removeAttribute($attr->name);
    }
    
    return $dom->saveHTML();
}

四、注意事项与最佳实践

1. 性能考虑

   • 复杂HTML文档使用DOMDocument可能更高效
   • 简单内容使用正则表达式更快

2. 转义问题

   • 注意处理HTML实体编码的脚本
   • 示例：<script>alert(1)</script>

3. 误杀风险

   • 避免过度过滤导致正常内容丢失
   • 测试用例应包括：

     
     <div onclick="validFunction()">合法内容</div>
     <a href="javascript:void(0)">特殊链接</a>
     

4. 替代方案

   // 使用专业HTML净化库
   require_once 'HTMLPurifier.auto.php';
   $config = HTMLPurifier_Config::createDefault();
   $purifier = new HTMLPurifier($config);
   $clean_html = $purifier->purify($dirty_html);
   

五、完整示例代码

<?php
function remove_all_js($content) {
    // 第一阶段：去除script标签
    $content = preg_replace(
        '/<script[^>]*?>.*?<\/script>/is', 
        '', 
        $content
    );
    
    // 第二阶段：去除含javascript:的链接
    $content = preg_replace(
        '/<a[^>]*?href=["\']javascript:[^"\']*?["\'][^>]*?>.*?<\/a>/is',
        '',
        $content
    );
    
    // 第三阶段：去除事件属性
    $content = preg_replace(
        '/(<[^>]+)\s+on[a-z]+\s*=\s*"[^"]*"/is',
        '$1',
        $content
    );
    
    return $content;
}

// 使用示例
$dirty_html = file_get_contents('input.html');
$clean_html = remove_all_js($dirty_html);
file_put_contents('output.html', $clean_html);
?>

六、总结

1. 正则表达式是去除JS的高效工具，但需要谨慎设计模式
2. 对于复杂场景，建议结合DOM解析器使用
3. 生产环境推荐使用HTMLPurifier等专业库
4. 始终应该测试过滤后的输出，确保功能正常

安全提示：没有任何过滤方法是100%安全的，关键系统应结合多层防御策略。 “`

这篇文章共计约1100字，采用Markdown格式编写，包含6个主要部分，涵盖基础到进阶的PHP去除JS技术，并提供了可直接使用的代码示例。