lib/plugin/RawHtml.php

   1 <?php // -*-php-*-
   2 // $Id$
   3 /**
   4  * Copyright 1999,2000,2001,2002,2004 $ThePhpWikiProgrammingTeam
   5  *
   6  * This file is part of PhpWiki.
   7  *
   8  * PhpWiki is free software; you can redistribute it and/or modify
   9  * it under the terms of the GNU General Public License as published by
  10  * the Free Software Foundation; either version 2 of the License, or
  11  * (at your option) any later version.
  12  *
  13  * PhpWiki is distributed in the hope that it will be useful,
  14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  16  * GNU General Public License for more details.
  17  *
  18  * You should have received a copy of the GNU General Public License along
  19  * with PhpWiki; if not, write to the Free Software Foundation, Inc.,
  20  * 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
  21  */
  22
  23 // Moved to IniConfig and config-default.ini
  24 // Define ENABLE_RAW_HTML to false (in config.ini) to disable the RawHtml
  25 // plugin completely
  26 /*
  27 if (!defined('ENABLE_RAW_HTML'))
  28     define('ENABLE_RAW_HTML', true);
  29 // must be locked
  30 if (!defined('ENABLE_RAW_HTML_LOCKEDONLY'))
  31     define('ENABLE_RAW_HTML_LOCKEDONLY', true);
  32 // sanitize to safe html code
  33 if (!defined('ENABLE_RAW_HTML_SAFE'))
  34     define('ENABLE_RAW_HTML_SAFE', true);
  35 */
  36
  37 /** We defined a better policy when to allow RawHtml:
  38  *   ENABLE_RAW_HTML_LOCKEDONLY:
  39  *  - Allowed if page is locked by ADMIN_USER.
  40  *   ENABLE_RAW_HTML_SAFE:
  41  *  - Allow some sort of "safe" html tags and attributes.
  42  *    Unsafe attributes are automatically stripped. (Experimental!)
  43  *    See http://phpwiki.sourceforge.net/phpwiki/allowing%20safe%20HTML
  44  */
  45
  46 /**
  47  * A plugin to provide for raw HTML within wiki pages.
  48  */
  49 class WikiPlugin_RawHtml
  50 extends WikiPlugin
  51 {
  52     function getName () {
  53         return "RawHtml";
  54     }
  55
  56     function getDescription () {
  57         return _("A plugin to provide for raw HTML within wiki pages.");
  58     }
  59
  60     function getDefaultArguments() {
  61         return array();
  62     }
  63
  64     function managesValidators() {
  65         // The plugin output will only change if the plugin
  66         // invocation (page text) changes --- so the necessary
  67         // validators have already been handled by displayPage.
  68         return true;
  69     }
  70
  71     function run($dbi, $argstr, &$request, $basepage) {
  72         if (!defined('ENABLE_RAW_HTML') || ! ENABLE_RAW_HTML) {
  73             return $this->disabled(_("Raw HTML is disabled in this wiki."));
  74         }
  75         if (!$basepage) {
  76             return $this->error("$basepage unset?");
  77         }
  78
  79         $page = $request->getPage($basepage);
  80         if (ENABLE_RAW_HTML_LOCKEDONLY) {
  81             if (! $page->get('locked')) {
  82                 return $this->disabled(fmt("%s is only allowed in locked pages.",
  83                                            _("Raw HTML")));
  84             }
  85         }
  86         if (ENABLE_RAW_HTML_SAFE) {
  87             // check for javascript handlers (on*) and style tags with external urls. no javascript urls.
  88             // See also http://simon.incutio.com/archive/2003/02/23/safeHtmlChecker
  89             // But we should allow not only code semantic meaning,  presentational markup also.
  90
  91             // http://chxo.com/scripts/safe_html-test.php looks better
  92             $argstr = $this->safe_html($argstr);
  93             /*return $this->disabled(HTML(fmt("This %s plugin on %s is disabled because of unsafe HTML code. ",$this->getName(), $basepage),
  94                                         fmt("See PhpWiki:allowing%20safe%20HTML")
  95                                         ));
  96             */
  97         }
  98
  99         return HTML::raw($argstr);
 100     }
 101
 102     // From http://chxo.com/scripts/safe_html-test.php
 103     // safe_html by Chris Snyder (csnyder@chxo.com) for http://pcoms.net
 104     //   - Huge thanks to James Wetterau for testing and feedback!
 105
 106 /*
 107 Copyright 2003 Chris Snyder. All rights reserved.
 108
 109 Redistribution and use in source and binary forms, with or without modification,
 110 are permitted provided that the following conditions are met:
 111
 112    1. Redistributions of source code must retain the above copyright
 113    notice, this list of conditions and the following disclaimer.
 114
 115    2. Redistributions in binary form must reproduce the above
 116    copyright notice, this list of conditions and the following
 117    disclaimer in the documentation and/or other materials provided
 118    with the distribution.
 119
 120 THIS SOFTWARE IS PROVIDED ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES,
 121 INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
 122 FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE
 123 AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 124 SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
 125 PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;  LOSS OF USE, DATA, OR PROFITS;
 126 OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
 127 WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
 128 OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
 129 ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 130 */
 131
 132 /*
 133  set of functions for sanitizing user input:
 134     keeps "friendly" tags but strips javascript events and style attributes
 135     closes any open comment tags
 136     closes any open HTML tags - results may not be valid HTML, but
 137         at least they will keep the rest of the page from breaking
 138
 139     treats the following as malicious conditions and returns text stripped
 140     of all html tags:
 141         any instances of ='javascript:
 142         event or style attributes remaining after initial replacement
 143 */
 144
 145     function strip_attributes ($html, $attrs) {
 146         if (!is_array($attrs)) {
 147             $array= array( "$attrs" );
 148             unset($attrs);
 149             $attrs= $array;
 150         }
 151
 152         foreach ($attrs AS $attribute) {
 153             // once for ", once for ', s makes the dot match linebreaks, too.
 154             $search[]= "/".$attribute.'\s*=\s*".+"/Uis';
 155             $search[]= "/".$attribute."\s*=\s*'.+'/Uis";
 156             // and once more for unquoted attributes
 157             $search[]= "/".$attribute."\s*=\s*\S+/i";
 158         }
 159         $html= preg_replace($search, "", $html);
 160
 161         // check for additional matches and strip all tags if found
 162         foreach ($search AS $pattern) {
 163             if (preg_match($pattern, $html)) {
 164                 $html= strip_tags($html);
 165                 break;
 166             }
 167         }
 168
 169         return $html;
 170     }
 171
 172     function safe_html ($html, $allowedtags="") {
 173         $version= "safe_html.php/0.4";
 174
 175         // anything with ="javascript: is right out -- strip all tags and return if found
 176         $pattern= "/=\s*\S+script:\S+/Ui";
 177         if (preg_match($pattern, $html)) {
 178             $html= strip_tags($html);
 179             return $html;
 180         }
 181
 182         // setup -- $allowedtags is an array of $tag=>$closeit pairs, where $tag is an HTML tag to allow and $closeit is 1 if the tag requires a matching, closing tag
 183         if ($allowedtags=="") {
 184             $allowedtags= array ( "p"=>1, "br"=>0, "a"=>1, "img"=>0, "li"=>1,
 185                 "ol"=>1, "ul"=>1, "b"=>1, "i"=>1, "em"=>1, "strong"=>1, "del"=>1, "ins"=>1,
 186                 "sub"=>1, "sup"=>1, "u"=>1, "blockquote"=>1, "pre"=>1, "hr"=>0,
 187                 "table"=>1, "thead"=>1, "tfoot"=>1, "tbody"=>1, "tr"=>1, "td"=>1, "th"=>1,
 188                 );
 189         }
 190         elseif (!is_array($allowedtags)) {
 191             $array= array( "$allowedtags" );
 192             unset($allowedtags);
 193             $allowedtags= $array;
 194         }
 195
 196         // there's some debate about this.. is strip_tags() better than rolling your own regex?
 197         // note: a bug in PHP 4.3.1 caused improper handling of ! in tag attributes when using strip_tags()
 198         $stripallowed= "";
 199         foreach ($allowedtags AS $tag=>$closeit) {
 200             $stripallowed.= "<$tag>";
 201         }
 202
 203         //print "Stripallowed: $stripallowed -- ".print_r($allowedtags,1);
 204         $html= strip_tags($html, $stripallowed);
 205
 206         // also, lets get rid of some pesky attributes that may be set on the remaining tags...
 207         $badattrs= array("on\w+", "style");
 208         $html= $this->strip_attributes($html, $badattrs);
 209
 210         // close html tags if necessary -- note that this WON'T be graceful formatting-wise, it just has to fix any maliciousness
 211         foreach ($allowedtags AS $tag=>$closeit) {
 212             if (!$closeit) continue;
 213             $patternopen= "/<$tag\b[^>]*>/Ui";
 214             $patternclose= "/<\/$tag\b[^>]*>/Ui";
 215             $totalopen= preg_match_all ( $patternopen, $html, $matches );
 216             $totalclose= preg_match_all ( $patternclose, $html, $matches2 );
 217             if ($totalopen>$totalclose) {
 218                 $html.= str_repeat("</$tag>", ($totalopen - $totalclose));
 219             }
 220         }
 221
 222         // close any open <!--'s and identify version just in case
 223         $html.= "<!-- $version -->";
 224         return $html;
 225     }
 226 }
 227
 228 // Local Variables:
 229 // mode: php
 230 // tab-width: 8
 231 // c-basic-offset: 4
 232 // c-hanging-comment-ender-p: nil
 233 // indent-tabs-mode: nil
 234 // End:
 235 ?>