정규식은 온 클릭으로 HTML 태그를 감지하거나 온로드 너무 욕심 속성

Question

나는 다음과 같은 정규식 HTML 코드를 확인하는 데 사용했다

이 정규식은 온 클릭 또는 온로드 어딘가에 속성을 가진 태그가 있는지 감지하도록되어

/<.+(onclick|onload)[^=>]*=[^>]+>/si 

을 HTML에서. 대부분의 경우 그렇습니다. 그러나 ". +"부분은 큰 텍스트에서 큰 성능 문제입니다 (그리고 너무 욕심 스럽기 때문에 일부 버그의 출처이기도합니다). 나는 그것을 수정하고 그것을 똑똑하게 만들려고하지만, 지금까지 실패했습니다 - "스마트는"한 몇 가지 예를 다음과 같이 그리워 :

<img alt="<script>" src="http://someurl.com/image.jpg"; onload="alert(42)" width="1" height="1"/> 

지금, 나는 정규 표현식에와 unmentionable horrors happen if I do와 HTML을 구문 분석하지 않아야 알고있다. 그러나이 특별한 경우에는 적절한 코드 (예 : 실제 HTML 파서)로 바꿀 수 없습니다. 이 정규식을 고칠 수 있습니까? 아니면 할 수있는 방법이 없습니다.

Answer 1

regex 일치에 대한 대안을 연구 할 것을 강력히 권장합니다. onclick/load js 처리기 코드는 relops 또는 내부 js 주석으로 > 및 <의 임의의 어커런스를 포함 할 수 있습니다. 이것은 onclick/load 핸들러 전후의 동일한 요소에있는 다른 js 핸들러의 코드에도 적용됩니다. 일치를 포함하는 전체 태그는 HTML 주석 내부에있을 수 있습니다 (이러한 발생을 일치 시키거나 HTML 주석을 제거하기를 원할 수도 있음).

그러나, 당신은 알고있는 것처럼 보입니다. 'html regex matching'에 대한 표준 면책 조항은 태그 내부에서만 일치해야하기 때문에 완전히 적용되지 않습니다.

on(click|load)[[:space:]]*=[[:space:]]*('[^']*'|"[^']*")

에 대한 스캐닝을 시도하고 바깥 쪽 태그에 대한 일치를 둘러싼 텍스트를 검색하는 일부 로직을 추가 할 수 있습니다. 당신이 용감 경우,이 하나를 시도해보십시오 :

<(([^'">]+(('[^']*'|"[^"']*")[^'">]+)*)|([^'">]+('[^']*'|"[^"']*"))+)on(click|load)[[:space:]]*=[[:space:]]*('[^']*'|"[^']*")

은 내부 텍스트의 순서를 교류하고, 태그 오프너 <과 온 클릭 /로드 속성 사이의 따옴표 쌍의 외부 일치합니다. 가장 바깥 쪽 대안은 닫는 따옴표와 onclick/load-attribute 사이에 공백이 없어지지 않는 특별한 경우를 충족시킵니다.

희망 하시겠습니까?