Skip to main content
Hashnode不工程的攻城獅

Command Palette

Search for a command to run...

HTML Sanitizer API - 原生的 JavaScript Security API

Published
攻城獅
Part of seriesSoftware development

最近在 10 / 18,W3C 中的 Web Platform Incubator Community Group 發布了一項 HTML Sanitizer API 規範草案,此草案的目的是為了解決瀏覽器 XSS 攻擊的問題。不過因為才剛公佈,所以還沒有瀏覽器有支援。

如果想要體驗的話,可以調整瀏覽器的設定:
Chrome :about://flags/#enable-experimental-web-platform-features
Firefox:about:config将dom.security.sanitizer.enabled

主要的功能是允許開發者當接收到了不受信任的 HTML 字串和 Document 或 DocumentFragment 物件的時候,可以對其進行清理後再安全的插入到 DOM 中(講白話就是幫我們過濾)。
使用的了 Sanitizer API 的好處就是減少了使用第三方套件來處理。使用了原生的 API 之後也可以提升效能。

Sanitizer API Methods

Sanitizer API 提供了三種基本的清理方式

Element.setHTML():用於解析和清理 HTML 字串,並立即將其插入當前元素的 DOM。可以當作是安全版本的 Element.innerHTML

const unsanitized_string = "abc <script>alert(1)</script> def";  // Unsanitized string of HTML

const sanitizer = new Sanitizer();  // Default sanitizer;

// Get the Element with id "target" and set it with the sanitized string.
const target = document.getElementById("target");
target.setHTML(unsanitized_string, sanitizer);

console.log(target.innerHTML);
// "abc  def"

Sanitizer.sanitizeFor():用於解析和清理 HTML 字串,跟 Element.setHTML 不同的在於,並不會插入 DOM 中。

const unsanitized_string = "abc <script>alert(1)</script> def";  // Unsanitized string of HTML
const sanitizer = new Sanitizer();  // Default sanitizer;

// Sanitize the string
let sanitizedDiv = sanitizer.sanitizeFor("div", unsanitized_string);

//We can verify the returned element type, and view sanitized HTML in string form:
console.log( (sanitizedDiv instanceof HTMLDivElement) );
// true
console.log(sanitizedDiv.innerHTML)
// "abc  def"

// At some point later ...

// Get the element to update. This must be a div to match our sanitizeFor() context.
// Set its content to be the children of our sanitized element. 
document.querySelector("div#target").replaceChildren(sanitizedDiv.children);

Sanitizer.sanitize():清理 Document 或 DocumentFragment 中的資料。直接清理 DOM 中的結構。

const sanitizer = new Sanitizer();  // Default sanitizer;

// Get the frame and its Document object
const frame_element = document.getElementById("userFrame")
const unsantitized_frame_tree = frame_element.contentWindow.document;

// Sanitize the document tree and update the frame.
const sanitized_frame_tree = sanitizer.sanitize(unsanititized_frame_tree);
frame_element.replaceChildren(sanitized_frame_tree);

Reference

  • https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API
#frontend-development#javascript#web-development

Software development

Part 32 of 50

A series about software engineering

Up next

知識閱讀 - 陳皓 / 我做系統架構的一些原則

https://coolshell.cn/articles/21672.html

More from this blog

如何開始入門軟體工程領域 - 名詞解釋(長期更新)

現在應該開始有很多人想要踏入軟體工程的領域,但在進入這個領域之前,覺得先了解一些名詞,可以在入門時更有方向也更知道要用什麼關鍵字去找尋有用的資訊。這篇文章就是想要幫助想要入門的人理解一些軟體工程裡的專有名詞。 作業系統 這一區塊主要解釋跟作業系統層面相關的名詞 英文中文解釋 Operation system 簡稱 OS | 作業系統 | 就是電腦的作業系統,是三大作業系統分別是:Linux、Windows、macOS | | Linux | | 自由和開放原始碼的 UNI...

May 10, 2023

我的 MacBook Pro (Apple Silicon) 設定

現在開始因為 ChatGPT 的出現,各種 AI 助手的功能都跑出來了。想想自己用了許久的環境設定也應該要來重新審視和建立新的開發環境了,僅此紀錄我個人的環境配置步驟和設定。 環境前置步驟 還原 MacBook Pro 至全新環境 macOS(全部資料刪除) 設定好初始設定後,登入 Apple ID 進入 App Store 確定 macOS 版本和預設 APP 都更新到最新 macOS 版本 到系統設定調整所有設定至個人習慣的設定 三指拖移 觸控板手勢開啟 防火牆開啟 輸入法設定...

Apr 25, 2023

ChatGPT 下的發展預想

從 ChatGPT 問世到現在,有許許多多的文章和討論出來。先從最早的 Google 要完蛋了,到後來的工作要被取代了,工程師失業了。 我就比較沒有想要馬上出來評論一下,我喜歡讓子彈飛一會兒。跟討論一下我自己比較在意的討論點。 Google 為什麼慢了? 結論:因為他需要更小心 很多人說 Google 怎麼被微軟搶先了一步。剛開始 Bing 說要加上 AI 的時候大家都在說 Google 怎麼慢了。我就馬上跑去看 OpenAI 的網站,靠北呀啊就 Azure 贊助的。那當然在正式上線 ChatG...

Mar 23, 2023

不工程的攻城獅

223 posts

I am not a programmer because I am not good at programming. But I do programming. Love to learn new things. An animal lover and a dancer. My oshi is 潤羽るしあ.