イベント属性を見つけて削除するRegEx ex。 onclick、onload、onhoverなど

Question

私は数日間オンとオフになっていましたが、私のRexExの熟練はあまり良くありません。はい、私はRegExがHTMLを解析するのではないことを理解しています。私はCKEditor入力のサーバー側の "クリーニング"を行っていますが、これは既にこれを行いますが、クライアント側のみです。いずれもホワイトリストされたタグをストライピングした後

...

まず：$html = preg_replace(' on\w+=(["\'])[^\1]*?\1', '', $html);

すべてのイベントが正しく'または"のいずれかの重引用符で引用された属性

を削除する第二： $html = preg_replace(' on\w+=\S+', '', $html); *何の引用符を持っていないものを削除しかし、まだ発射することができます。 onclickの= blowUpTheBaseは（）私がやりたい何

はのonEventが> & <の間にあるが、私は唯一のonEvent属性はタグの後の最初の1であれば、それは仕事を得ることができ確実です。私が試したすべてが、ほとんどのコードをキャプチャしてしまいます。私はちょうど十分に怠惰なそれを得ることができません。

ex。 $html = preg_replace('<([\s\S]?)(on\w+=\S+) ([\s\S]*?)>', '<$1 $3>', $html);

編集： RegExは私が求めているので、@ colburtonの回答を選択します。私はそれがトリックに起因するので、私の特定の状況にもそれを使用します。それは、この「正しい方法」を行う方法についての素晴らしい例と説明を与えるので、私は彼のanswerため@Casimirらイポリットに感謝したいと思います

しかし

（それはとにかく内部のアプリケーションです）。 DOMDocumentを使用して関数を書くとすぐに、RTE/WYSIWYG/HTML入力を処理するgotoの方法になります。

Answer 1

多分私はこれを最初から言及していたはずです。これは、XSSをフィルタリングする方法ではありません。これはあなたが提案したパラメータの中で純粋に学問的なものです（例えば、 "RegExを使う"）。

---

これは非常に近いあなたを取得：

<a href="something" onclick="bad()">text</a> onclick not in tags 
<a href="something" onclick=bad()>text</a> 
<a href="something" onclick="bad()" >text</a> 
<meta name="keywords" content="keyword1, keyword2, keyword3"> 

<a href="something" onclick= "bad()">text</a> onclick not in tags 
<a href="something" onclick =bad()>text</a> 
<a href="something" onclick=bad('test')>text</a> 
<a href="something" onclick=bad("test")>text</a> 
<a href="something" onclick="bad()" >text</a> 
What if I write john+onelia=love forever? 

でテスト

preg_replace('/(<.+?)(?<=\s)on[a-z]+\s*=\s*(?:([\'"])(?!\2).+?\2|(?:\S+?\(.*?\)(?=[\s>])))(.*?>)/ig', "$1 $3", $string); 

はこの辺り再生： https://regex101.com/r/GMBaQs/9