Sanitizer：给你的DOM消消毒

作者丨卡颂

来源丨经授权转自 魔术师卡颂（ID：gh_52d0bec584f9）

大家好，我卡颂。

业务中经常遇到需要处理「有风险的DOM」的场景，比如：

• 各种工具的文本粘贴功能

• 需要渲染服务端返回HTML的场景

为了阻止潜在的XSS攻击，有两个选择：

• escape（转义）

• sanitize（消毒）

本文会介绍这两者的区别以及为DOM消毒的API —— Sanitizer。

本文内容来自Safe DOM manipulation with the Sanitizer API^[1]

转义与消毒

假设，我们想将这样一段HTML字符串插入DOM：

如果直接将其作为某个元素的innerHTML，img的onerror回调执行JS代码的能力会带来XSS风险。

一种常见解决方案是：转义字符串。

什么是escape

浏览器会将一些保留字符解析为HTML代码，比如：

• <被解析为标签的开头

• >被解析为标签的结尾

• ''被解析为属性值的开头和结尾

为了将这些保留字符显示为文本（不被解析为HTML代码），可以将其替换为对应的entity（HTML实体）：

• <的实体为<

• >的实体为>

• ''的实体为"

这种将HTML字符替换为entity的方式被称为escape（转义）

什么是sanitize

对于上面的HTML字符串：

除了转义''来规避XSS风险，还有一种更直观的思路：直接过滤掉onerror属性。

这种直接移除HTML字符串中有害的代码（比如<script>）的方式被称为sanitize（消毒）

需要用到一个API——Sanitizer^[2]。

首先我们通过Sanitizer构造实例：

调用实例的sanitizeFor方法，传入容器元素类型以及要消毒的HTML字符串：

会得到一个HTMLDivElement（即我们传入的容器元素类型），其内部包含一个没有onerror属性的img：

默认情况下Sanitizer会移除所有可能导致JS执行的代码。

丰富的配置

Sanitizer不仅开箱即用，还提供丰富的白名单、黑名单配置：

比如，allowElements定义元素白名单，只有名单内的元素会被保留，与之对应的blockElements是元素黑名单：

allowAttributes是属性白名单，与之对应的dropAttributes是属性黑名单，对于如下配置：

代表消毒后的HTML：

• 只允许span元素拥有style属性

• 移除所有元素（*通配符代表所有元素）的id属性

兼容性

这么香的API兼容性怎么样呢：

当前只有在Chrome 93之后，开启试验标识后可使用：

虽然原生Sanitizer离稳定还遥遥无期，但你可以使用DOMPurify^[3]库实现类似功能。

后记

日常你更倾向使用escape还是sanitize呢？

参考资料

1、为什么阿里巴巴强制要求使用包装类型定义属性？

2、2W字！详解20道Redis经典面试题！（珍藏版）

3、错误调试精确到行、match-case模式匹配……Python 3.10正式版真的很友好

4、微服务导入篇，一文带你盘点“微服务”中的技术点

点分享

点点赞

点在看