我有一个包含 HTML 的字符串(来自 Markdown),其他人可以提交这些字符串,这些字符串在网页上呈现为实际的 HTML。
我想从这个 HTML 中安全地去除 Javascript 的每一点,无论是在脚本标签还是属性中。
这样做的最佳/最安全方法是什么?
试试safe-html包。
基本上,它使用允许的元素和属性的白名单来净化 HTML。使用 parse5 解析 HTML,它使用 HTML5 解析算法(意味着它应该以与浏览器相同的方式解析文档)。
希望这可以帮助!
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句