我有一个包含 HTML(来自 Markdown)的字符串,其他人可以提交这些字符串,这些字符串将作为实际的 HTML 呈现在网页上。
我想安全地从此 HTML 中删除 Javascript 的每一部分,无论是在脚本标签中还是在属性中。
最好/最安全的方法是什么?
最佳答案
尝试safe-html包。
基本上,它使用允许的元素和属性的白名单来清理 HTML。使用 parse5 解析 HTML,parse5 使用 HTML5 解析算法(这意味着它应该像浏览器一样解析文档)。
希望这有帮助!
关于javascript - 从 HTML 中清理/剥离 Javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57009187/