要使用HTML Purifier HTML.ForbiddenElements配置指令,您似乎会执行以下操作：

require_once '/path/to/HTMLPurifier.auto.PHP';

$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.ForbiddenElements',array('script','style','applet'));
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);

http://htmlpurifier.org/docs

HTML.ForbiddenElements should be set to an array.我不知道的是数组成员应采取的形式：

array('script','applet')

要么：

array('<script>','<style>','<applet>')

或者是其他东西？

我认为这是第一种形式,没有分隔符; HTML.AllowedElements使用了一种与TinyMCE’s valid elements syntax有些共同的配置字符串形式：

tinyMCE.inIT({
    ...
    valid_elements : "a[href|target=_blank],strong/b,div[align],br",...
});

所以我猜这只是一个术语,不应该提供任何属性(因为你禁止元素……虽然也有HTML.ForbiddenAttributes).但这是猜测.

我还将从HTML.ForbiddenAttributes文档中添加此注释：

黑名单不像白名单那样“强大”,但您可能有自己的理由.请注意并小心.

没有测试,我不知道该告诉你什么.我会继续寻找答案,但我可能会先上床睡觉.现在已经很晚了.