Sanitizer:给你的DOM消消毒

最新推荐文章于 2025-06-05 20:57:57 发布
转载 最新推荐文章于 2025-06-05 20:57:57 发布 · 353 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzI4NDYxNTM0OQ==&mid=2247488662&idx=1&sn=cc227e981ce05499de75d6d4f8792c51&chksm=ebf9e34cdc8e6a5a7660238fcd30642326d93a6f65c9a6eb4e90a94477b8450dd7d32ffc193c&scene=126&&sessionid=0
文章标签:

#字符串 #js #javascript #vue #java

本文介绍了在处理可能含有风险的DOM时,如何利用浏览器的Sanitizer API来防止XSS攻击。Sanitizer API提供了转义和消毒两种方式,其中转义通过替换HTML特殊字符为实体来避免解析,而消毒则是直接过滤掉有害代码。文章详细讲解了Sanitizer API的使用方法,包括默认配置和自定义配置,并对比了与DOMPurify库的相似功能。最后讨论了Sanitizer API的兼容性和实际应用中选择转义或消毒的考量。

业务中经常遇到需要处理「有风险的DOM」的场景,比如:

  • 各种工具的文本粘贴功能

  • 需要渲染服务端返回HTML的场景

为了阻止潜在的XSS攻击,有两个选择:

  • escape(转义)

  • sanitize(消毒)

本文会介绍这两者的区别以及为DOM消毒的API —— Sanitizer

63d25e757e024cd6e2779ac6a37d6e35.png

本文内容来自Safe DOM manipulation with the Sanitizer API[1]

转义与消毒

假设,我们想将这样一段HTML字符串插入DOM

const str = "<img src='' onerror='alert(0)'>";

如果直接将其作为某个元素的innerHTMLimgonerror回调执行JS代码的能力会带来XSS风险。

一种常见解决方案是:转义字符串。

什么是escape

浏览器会将一些保留字符解析为HTML代码,比如:

  • <被解析为标签的开头

  • >被解析为标签的结尾

  • ''被解析为属性值的开头和结尾

为了将这些保留字符显示为文本(不被解析为HTML代码),可以将其替换为对应的entityHTML实体):

  • <的实体为&lt;

  • >的实体为&gt;

  • ''的实体为&quot;

这种将HTML字符替换为entity的方式被称为escape(转义)

什么是sanitize

对于上面的HTML字符串:

const str = "<img src='' onerror='alert(0)'>";

除了转义''来规避XSS风险,还有一种更直观的思路:直接过滤掉onerror属性。

这种直接移除HTML字符串中有害的代码(比如<script>)的方式被称为sanitize(消毒)

需要用到一个API——Sanitizer[2]

首先我们通过Sanitizer构造实例:

const sanitizer = new Sanitizer();

调用实例的sanitizeFor方法,传入容器元素类型以及要消毒的HTML字符串:

sanitizer.sanitizeFor("div", str);

会得到一个HTMLDivElement(即我们传入的容器元素类型),其内部包含一个没有onerror属性的img

d450f28983df05f4d1417f6848420b16.png

默认情况下Sanitizer会移除所有可能导致JS执行的代码。

丰富的配置

Sanitizer不仅开箱即用,还提供丰富的白名单、黑名单配置:

const config = {
  allowElements: [],
  blockElements: [],
  dropElements: [],
  allowAttributes: {},
  dropAttributes: {},
  allowCustomElements: true,
  allowComments: true
};

new Sanitizer(config)

比如,allowElements定义元素白名单,只有名单内的元素会被保留,与之对应的blockElements是元素黑名单:

const str = `hello <b><i>world</i></b>`

new Sanitizer().sanitizeFor("div", str)
// <div>hello <b><i>world</i></b></div>

new Sanitizer({allowElements: [ "b" ]}).sanitizeFor("div", str)
// <div>hello <b>world</b></div>

new Sanitizer({blockElements: [ "b" ]}).sanitizeFor("div", str)
// <div>hello <i>world</i></div>

new Sanitizer({allowElements: []}).sanitizeFor("div", str)
// <div>hello world</div>

allowAttributes是属性白名单,与之对应的dropAttributes是属性黑名单,对于如下配置:

{
  allowAttributes: {"style": ["span"]},
  dropAttributes: {"id": ["*"]}}
}

代表消毒后的HTML

  • 只允许span元素拥有style属性

  • 移除所有元素(*通配符代表所有元素)的id属性

ebd1192ae1e1d0780e30d2c8b99be09b.png

兼容性

这么香的API兼容性怎么样呢:

037279260e386d1dc9022a32e3b80945.png1069cd0c5539c6a74bfdd6b87c5ee32a.png

当前只有在Chrome 93之后,开启试验标识后可使用:

about://flags/#enable-experimental-web-platform-features

虽然原生Sanitizer离稳定还遥遥无期,但你可以使用DOMPurify[3]库实现类似功能。

后记

日常你更倾向使用escape还是sanitize呢?

参考资料

[1]

Safe DOM manipulation with the Sanitizer API: https://web.dev/sanitizer/

[2]

Sanitizer: https://wicg.github.io/sanitizer-api/

[3]

DOMPurify: https://github.com/cure53/DOMPurify

YvetteLau
关注
SAP UI5 跨站脚本攻击 XSS 全景与实战防护:从渲染模型到 HTML Sanitizer、URL 允许清单与编码 API
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
09-25 142
本文探讨了SAP UI5应用中XSS安全防护的四层策略:服务器端转义、控件自动编码、富文本消毒和URL允许清单。重点分析了常见风险场景,如首屏注入、HTML拼接和富文本编辑器使用,并提供了具体代码示例和修正方案。文章还强调了补丁更新的重要性,并附上XSS排查清单,帮助开发者构建全面的防护体系。通过结合SAP官方文档和实际案例,展示了如何将XSS风险从可能性降至工程可控范围。
DOMPurify:一个只针对 DOM 的、超快的、宽容的 HTML XSS清理工具
前端全栈开发者
01-21 3171
是一个只针对 DOM 的、超快的、超容忍的 HTML、MathML 和 SVG 跨站脚本清理器。DOMPurify 于 2014 年 2 月发布,目前已经达到 v3.0.8 版本。DOMPurify 是用 JavaScript 编写的,在所有现代浏览器(Safari(10 ),Opera(15 ),Edge,Firefox 和 Chrome - 以及几乎所有使用 Blink,Gecko 或 WebKit 的浏览器)上都可以运行,它不会在 MSIE 或其他旧版浏览器上崩溃。
Angular 2 DomSanitizer
weixin_34166847的博客
03-23 248
Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的...
“治疗“xss攻击的“特效药“:DOMPurify,让HTML更安全
qq_41444226的博客
05-17 4092
跨站脚本(XSS)攻击是一种常见的网站安全威胁,它通过将恶意脚本注入到网站中以窃取用户数据或利用用户的身份执行未经授权的操作。DOMPurify 是一个能够帮助前端开发者避免 XSS 攻击的 Javascript 库。DOMPurify是一个用于清洗和消毒HTML、MathML和SVG的小型和快速的库。它的目的是防止跨站脚本攻击(XSS),并确保提供的HTML是安全的,可以在网页中插入使用。
DomSanitizer 安全URL脚本访问,Angular 和 TypeScript
Neokekeke的博客
12-07 1912
Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用
DOMPurify 使用方法,如何安全地操作DOM |.sanitize()|.innerHTML|TypeScript TS
cybozu的博客
09-11 2623
你可以用充满脏HTML的字符串来输入DOMPurify,它将返回一个带有干净HTML的字符串(除非另有配置)。您的浏览器越快,DOMPurify 的速度就越快。DOMPurify是用JavaScript编写的,适用于所有现代浏览器(Safari(10+),Opera(15+),Edge,Firefox和Chrome - 以及几乎所有使用Blink,Gecko或WebKit的其他浏览器)。DOMPurify是一个仅限DOM的,超快速的,超级宽容的XSS清理器,用于HTML,MathML和SVG。
Web前端安全消毒工具:sanitizer-api的介绍与应用
资源摘要信息:"sanitizer-api" 知识点一:Web应用程序中的字符串处理 在Web应用程序中,客户端经常需要处理来自用户的HTML字符串。这些字符串可能是用户生成的内容,或者被用作客户端模板的一部分。在这些场景中,...
DOMPurify:跨平台的HTML安全消毒工具,防范XSS攻击
资源摘要信息:"DOMPurify是一种用于HTML、MathML和SVG内容的安全消毒工具,其核心是纯DOM处理,这意味着它在浏览器的DOM环境中执行,不依赖于任何服务器端的处理。DOMPurify的执行速度超快,且对跨站脚本攻击(XSS)...
sanitizer-api
04-27
消毒说明 问题 各种Web应用程序通常需要在客户端使用HTML字符串。 例如,这可能作为客户端模板解决方案的一部分进行,或者可能在呈现用户生成的内容的过程中发挥作用。 关键问题在于,以安全的方式执行这些任务仍然...
HTML消毒剂:提高用户输入安全性
- 通过DOM解析和白名单的机制,html-sanitizer可以有效地清除潜在的跨站脚本(XSS)等安全威胁,避免恶意代码执行。 3. **性能与扩展性**: - 由于html-sanitizer基于DOM解析,它能够以高效的方式清理HTML内容。 ...
sanitizer-polyfill:重写构造函数参数,调用 DOMPurify,利润
07-24
规范的 Polyfill。 TODO : 这个自述文件需要一个扩展 计划: 可能会在之上使用垫片,主要将指定的配置对象重写为 DOMPurify 配置。 DOMPurify 比其他库更有趣,因为它依赖于当前浏览器的 HTML 解析行为(它构建在接口之上)。
vue-sanitize:适用于Vue.js应用程序的基于白名单HTML清理程序(sanitize-html)
05-01
Vue消毒 Vue.js应用程序的基于白名单HTML清理程序(sanitize-html)。 笔记 我们应该始终在服务器上清理用户输入值。 仅在必要的情况下使用Vue进行消毒(例如,降价预览)。 安装 npm install --save vue-sanitize 或者 yarn add vue-sanitize 用法 注册插件 import VueSanitize from "vue-sanitize" ; Vue . use ( VueSanitize ) ; 您也可以传递默认选项: defaultOptions = { allowedTags : [ 'a' , 'b' ] , allowedAttributes : { 'a' : [ 'href' ] } } ; Vue . use ( VueSanitize , defaultOption
Angular4中使用DomSanitizer
always_____的博客
05-17 7119
作用 DomSanitizer有助于防止跨站点脚本安全漏洞(XSS),通过清除值以便在不同的DOM上下文中安全使用。 为什么会需要使用DomSanitizer Angular4中默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等方式,将一个值从模板中插入到DOM中时,Angular4会自帮我们清除和转义不受信任的值。 如下有个例子: ...
sanitizer工具
最新发布
qq_55207368的博客
06-05 639
ASan -fsanitize=address export ASAN_OPTIONS=disable_coredump=0:abort_on_error=1 内存越界、释放后使用、泄漏。进阶需求:通过环境变量定制错误报告行为,或结合覆盖率工具(如 -fsanitize-coverage=trace-pc-guard)提升模糊测试效率。通过 ASAN_SYMBOLIZER_PATH=/path/to/llvm-symbolizer 指定符号解析器,提升堆栈可读性。
vue3 过滤特殊字符-防止XSS(跨站脚本攻击) 的方法 ~ dompurify
qq_39111074的博客
10-21 1325
vue3 过滤特殊字符-防止XSS(跨站脚本攻击) 的方法 ~ dompurify
告别 XSS!新的 W3C 提案助你安全操作 DOM
Yvette Lau的专栏
10-25 255
Sanitizer API 是一个新的提案,目标是构建一个强大的处理器,以便将任意字符串更安全地插入到 HTML 页面。多年来,DOM XSS一直是最普遍且最危险的 Web 安全漏洞之一...
html中alert的用法_【渗透实战】通过HTML命名空间混淆绕过DOMPurify实现XSS
weixin_39716044的博客
11-29 889
点击上方蓝字关注我们1概述本篇文章主要介绍了如何绕过主流的HTML杀毒程序库DOMPurify。DOMPurify是一款使用JavaScript编写的的HTML过滤库,可以处理来自用户的不受信任的HTML片段,删除可能导致跨站脚本攻击(XSS)的所有元素及属性。具体的绕过方法如下所示:<form><math><mtext>form><for...
Angular 使用DomSanitizer防范跨站脚本攻击
Dominic_W的博客
04-09 950
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但是实际上也可以是Java、VBScript、ACtiveX、Flash甚至是一些普通的HTML。简称XSS,是代码注入的一种,是一种网站应用程序的安全漏洞攻击。它允许恶意用户将代码注入到网页上,其他用户在使用网页时就会收到影响,这类攻击通常包含了HTML和用户端脚本语言(JS)。
清洗HTML文档,操作HTMLDOM文档
weixin_42314860的博客
06-10 118
使用DOM操作HTML文档Node对象属性nodeName 节点的名字,Element节点则代表Element的标记名称。nodeType 代表节点的类型。nodeValue 代表节点的值。attributes 如果该节点是一个Element,则以NamedNodeMap形式返回该元素的属性。childNodes 以Node[]的形式存放当前节点的子节点。如果没有子节点,则返回...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值