sanitize-html 防止 XSS(跨站脚本攻击)

sanitize-html 是一个用于清理和验证 HTML 的 JavaScript 库,主要用于防止 XSS(跨站脚本攻击)。它允许你定义一套规则来决定哪些 HTML 标签和属性是可以被信任的,从而确保用户输入的内容不会包含潜在的恶意代码。

主要功能

  • HTML 清理:移除不安全的标签和属性。
  • 自定义配置:可以根据需求配置允许的标签、属性等。
  • XSS 防护:有效防止跨站脚本攻击。

使用场景

  • 在接收用户输入的富文本内容时,确保内容的安全性。
  • 在展示第三方提供的 HTML 内容时,防止恶意代码注入。

安装

可以通过 npm 安装 sanitize-html

npm install sanitize-html

基本用法

const sanitizeHtml = require('sanitize-html');

const dirty = '<p><script>alert("XSS");</script>Some text</p>';
const clean = sanitizeHtml(dirty, {
  allowedTags: ['p', 'b', 'i', 'em', 'strong'],
  allowedAttributes: {},
});

console.log(clean); // 输出: <p>Some text</p>

以下是一个在vue中使用的更全面的配置示例:

import sanitizeHtml from 'sanitize-html';

export default {
  data() {
    return {
      dirtyContent: '<p><script>alert("XSS");</script>Some text</p>'
    };
  },
  computed: {
    sanitizedContent() {
      return sanitizeHtml(this.dirtyContent, this.sanitizeConfig);// 第一个参数是要处理的文本,第二个参数是配置项
    }
  },
  methods: {
    sanitizeConfig() {
      return {
        allowedTags: ['p', 'b', 'i', 'em', 'strong', 'a', 'img'],// 允许的 HTML 标签列表。
        allowedAttributes: {// 允许的 HTML 属性及其对应的标签。
          a: ['href', 'title'],
          img: ['src', 'alt']
        },
        transformTags: {// 对特定标签进行转换的函数,可以修改特定标签的属性值或结构。
          a: (tagName, attribs) => {
            if (!attribs.href.startsWith('http')) {
              attribs.href = 'https://example.com';
            }
            return { tagName, attribs };
          }
        },
        allowedStyles: { // 允许的 CSS 样式及其对应的属性,只有这些样式属性及其值会被保留。
          '*': { // * 代表所有标签
            color: [/^#[0-9a-f]{6}$/i, /^rgb\(\d{1,3},\s*\d{1,3},\s*\d{1,3}\)$/]
            'font-size': [/\d+px/]
          },
          p: { // 仅适用于 <p> 标签
              'font-weight': ['bold', 'normal']
          }
        },
        // allowedStyles: ['color', 'background-color', 'font-size', 'text-align', 'margin', 'padding'],  //也可以 这种写法, 允许使用的 CSS 样式属性 只有这些样式属性及其值会被保留。
        disallowedTagsMode: 'escape', // 处理allowedTags列表中不允许的标签,方式,'escape' 这个属性将不允许的标签及其内容转义为文本形式,'remove' 这个属性会直接移除这些标签。
        parseStyle: true, // 是否解析 style 行内属性,设置为 true 时,style 属性将被解析并清理,并根据 allowedStyles 配置来决定哪些样式属性及其值是允许的
        allowProtocolRelativeUrls: false,//是否允许协议相对 URL(如 //example.com),设置为 false 时,协议相对 URL 将被移除或替换。
        enforceHtmlEntityEncoding: true,//是否强制编码 HTML 实体,设置为 true 时,特殊字符将被编码为 HTML 实体,例如 < 被编码为 &lt;。
        allowedSchemes: ['http', 'https', 'mailto'],// 允许的 URL 方案(协议),只有这些方案的 URL 会被保留,其他方案的 URL 将被移除。
        allowedSchemesByTag: { // 为不同标签指定不同的允许 URL 方案。
          a: ['http', 'https', 'mailto'],
          img: ['http', 'https']
        },
        allowedSchemesAppliedToAttributes: ['href', 'src'],// 指定哪些属性需要检查 URL 方案。
        selfClosing: ['img', 'br', 'hr'], // 这些标签将被视为自闭合标签。
        exclusiveFilter: (frame) => frame.tag === 'script' || frame.tag === 'style', // 排除某些标签或属性的过滤器函数,返回 true 的标签或属性将被移除。
        nonTextTags: ['script', 'style'], // 这些标签的内容将被视为非文本内容,不会被清理。
        textFilter: (text) => text.replace(/badword/g, '****') // 文本内容的过滤器函数,可以对文本内容进行自定义处理。
      };
    }
  }
};

 通过这些配置,你可以更精细地控制 HTML 内容的清理规则,确保应用的安全性和功能性,一般常用的就前面几个,根据自己需要进行配置,如果有不对或者不足的欢迎评论区补充。

上一篇:信息收集、漏洞扫描、漏洞利用、权限提升、数据泄露


下一篇:aws(学习笔记第十二课) 使用AWS的RDS-MySQL