Sanitizer：给你的DOM消消毒

编程语言 2021-10-14 11:43:43 阅读次数: 0

欢迎加入人类高质量前端框架研究群，带飞

大家好，我卡颂。

业务中经常遇到需要处理有风险的DOM的场景，比如：

各种工具的文本粘贴功能
需要渲染服务端返回HTML的场景

为了阻止潜在的XSS攻击，有两个选择：

escape（转义）
sanitize（消毒）

本文会介绍这两者的区别以及为DOM消毒的API —— Sanitizer。

本文内容来自Safe DOM manipulation with the Sanitizer API

扫描二维码关注公众号，回复： 13167647 查看本文章

转义与消毒

假设，我们想将这样一段HTML字符串插入DOM：

const str = "<img src='' onerror='alert(0)'>";
复制代码

如果直接将其作为某个元素的innerHTML，img的onerror回调执行JS代码的能力会带来XSS风险。

一种常见解决方案是：转义字符串。

什么是escape

浏览器会将一些保留字符解析为HTML代码，比如：

<被解析为标签的开头
>被解析为标签的结尾
''被解析为属性值的开头和结尾

为了将这些保留字符显示为文本（不被解析为HTML代码），可以将其替换为对应的entity（HTML实体）：

<的实体为<
>的实体为>
''的实体为"

这种将HTML字符替换为entity的方式被称为escape（转义）

什么是sanitize

对于上面的HTML字符串：

const str = "<img src='' onerror='alert(0)'>";
复制代码

除了转义''来规避XSS风险，还有一种更直观的思路：直接过滤掉onerror属性。

这种直接移除HTML字符串中有害的代码（比如<script>）的方式被称为sanitize（消毒）

需要用到一个API——Sanitizer。

首先我们通过Sanitizer构造实例：

const sanitizer = new Sanitizer();
复制代码

调用实例的sanitizeFor方法，传入容器元素类型以及要消毒的HTML字符串：

sanitizer.sanitizeFor("div", str);
复制代码

会得到一个HTMLDivElement（即我们传入的容器元素类型），其内部包含一个没有onerror属性的img：

默认情况下Sanitizer会移除所有可能导致JS执行的代码。

丰富的配置

Sanitizer不仅开箱即用，还提供丰富的白名单、黑名单配置：

const config = {
  allowElements: [],
  blockElements: [],
  dropElements: [],
  allowAttributes: {},
  dropAttributes: {},
  allowCustomElements: true,
  allowComments: true
};

new Sanitizer(config)
复制代码

比如，allowElements定义元素白名单，只有名单内的元素会被保留，与之对应的blockElements是元素黑名单：

const str = `hello <b><i>world</i></b>`

new Sanitizer().sanitizeFor("div", str)
// <div>hello <b><i>world</i></b></div>

new Sanitizer({allowElements: [ "b" ]}).sanitizeFor("div", str)
// <div>hello <b>world</b></div>

new Sanitizer({blockElements: [ "b" ]}).sanitizeFor("div", str)
// <div>hello <i>world</i></div>

new Sanitizer({allowElements: []}).sanitizeFor("div", str)
// <div>hello world</div>
复制代码

allowAttributes是属性白名单，与之对应的dropAttributes是属性黑名单，对于如下配置：

{
  allowAttributes: {"style": ["span"]},
  dropAttributes: {"id": ["*"]}}
}
复制代码

代表消毒后的HTML：

只允许span元素拥有style属性
移除所有元素（*通配符代表所有元素）的id属性

兼容性

这么香的API兼容性怎么样呢：

当前只有在Chrome 93之后，开启试验标识后可使用：

about://flags/#enable-experimental-web-platform-features
复制代码

虽然原生Sanitizer离稳定还遥遥无期，但你可以使用DOMPurify库实现类似功能。

后记

日常你更倾向使用escape还是sanitize呢？

猜你喜欢

转载自juejin.im/post/7018732145279500295

Sanitizer：给你的DOM消消毒

Angular 学习笔记 (消毒 sanitizer)

消毒 url 和 html (url encode and sanitizer html )

特殊时期给你特殊关爱，防疫暖心包免费领，内含口罩、消毒喷雾等必需品

给你

给你们

写给你

response：呐，给你！

Address Sanitizer 用法

console给你份兼职！！！

给你的正则加加速

Tableau“说”给你听

写给自己也写给你

给你的程序加上逻辑

让MVVM原理还给你

给你的背景添加彩带

如何给你的社群定位？

输入文字，给你视频

你不知的DOM编程

Testing libc++ with Address Sanitizer

前期是老板给你发工资，中期是能力给你发工资，后期是品德给你发工资！

教你用Vue写一个开心消消乐

给你的项目设置路径${项目名}

给你的控件加上快捷菜单

给你出道题---如何蒙题

给你的PHP大马添加后门(黑吃黑)

给你奖，国际性的！

英语给你带来的全是惊喜

websocket--给你最好的资源

小米球ngrok 给你惊喜

今日推荐

Electron中的关于静态资源加载问题解决方案

《Cursor-AI编程》基础篇-界面指南

《Cursor-AI编程》基础篇-Tab代码智能补充

《Cursor-AI编程》基础篇-Composer功能详解

《Cursor-AI编程》基础篇-Chat功能详解

《Cursor-AI编程》进阶篇-自定义模型

《Cursor-AI编程》进阶篇-上下文详解

【大模型系列篇】最强检索增强技术GraphRAG基本原理详解

【大模型系列篇】基于Ollama和GraphRAG v2.0.0快速构建知识图谱

解释什么是迁移学习？在 CNN 中如何应用？（面试题200合集，高频、关键）

解释数据增强（Data Augmentation）的概念和方法（（面试题200合集，高频、关键））

揭秘大模型“魔法”：Function Calling 让 AI 不止会说，更能“做”！

周排行

ConfigurationClassParser类的parse方法源码解析

基础大讲堂-java 位运算符

ConsecutiveInteger判断给定的整数n能否表示成连续的m(m>1)个正整数之和

多项式问题之六——多项式快速幂

Spring Security技术栈开发企业级认证与授权（四）RESTful API服务异常处理

Linux基础命令---apachectl

MATLAB中的线性插值

Unity编辑器拓展之十七：NGUI ComponentSelector增加搜索框

SqlServer 备份还原教程

[Unity动画]01.

每日归档

2025-04-12(10529)

2025-04-11(9561)

2025-04-10(1213)

2025-04-09(10354)

2025-04-08(12998)

2025-04-07(0)

2025-04-06(0)

2025-04-05(0)

2025-04-04(0)

2025-04-03(0)