Sanitise/strip Javascript 来自 HTML
Sanitise/strip Javascript from HTML
我有一个包含 HTML 的字符串(来自 Markdown),其他人可以提交这些字符串,这些字符串在网页上呈现为实际 HTML。
我想从这个 HTML 中安全地删除 Javascript 的每一位,无论它是在脚本标签还是属性中。
best/safest 这样做的方法是什么?
试试 safe-html 包。
基本上,它使用允许的元素和属性的白名单对 HTML 进行消毒。使用 parse5 解析 HTML,它使用 HTML5 解析算法(意味着它应该像浏览器一样解析文档)。
希望对您有所帮助!
我有一个包含 HTML 的字符串(来自 Markdown),其他人可以提交这些字符串,这些字符串在网页上呈现为实际 HTML。
我想从这个 HTML 中安全地删除 Javascript 的每一位,无论它是在脚本标签还是属性中。
best/safest 这样做的方法是什么?
试试 safe-html 包。
基本上,它使用允许的元素和属性的白名单对 HTML 进行消毒。使用 parse5 解析 HTML,它使用 HTML5 解析算法(意味着它应该像浏览器一样解析文档)。
希望对您有所帮助!