这更像是一种“您能确认这是正确的”问题吗,因为我认为我在编写问题的过程中已解决了该问题,但希望它对其他犹豫不决的人有所帮助涉及到实现DOMPurify。
简短版本
在前端js文件中像这样导入和使用DOMPurify是否安全/有效?
npm install dompurify --save
import DOMPurify from 'dompurify';
var clean = DOMPurify.sanitize('<img src=x onerror=alert(1)//>', {SAFE_FOR_JQUERY: true});
详细版本
目前,我的主要前端js文件使用以下约定导入:
import ClipboardJS from 'clipboard';
// date-fns functions
import getYear from 'date-fns/get_year';
import getMonth from 'date-fns/get_month';
import getDaysInMonth from 'date-fns/get_days_in_month';
import startOfMonth from 'date-fns/start_of_month';
import getDay from 'date-fns/get_day';
import format from 'date-fns/format';
import Cookies from './js.cookie';
我尝试了以下操作:
npm install dompurify --save
import DOMPurify from 'dompurify';
console.log(DOMPurify.sanitize('<img src=x onerror=alert(1)//>', {SAFE_FOR_JQUERY: true}));
console.log(DOMPurify.sanitize('<svg><g/onload=alert(2)//<p>', {SAFE_FOR_JQUERY: true}));
console.log(DOMPurify.sanitize('<p>abc<iframe/\/src=jAva	script:alert(3)>def', {SAFE_FOR_JQUERY: true}));
console.log(DOMPurify.sanitize('<math><mi//xlink:href="data:x,<script>alert(4)</script>">', {SAFE_FOR_JQUERY: true}));
console.log(DOMPurify.sanitize('<TABLE><tr><td>HELLO</tr></TABL>', {SAFE_FOR_JQUERY: true}));
console.log(DOMPurify.sanitize('<UL><li><A HREF=//google.com>click</UL>', {SAFE_FOR_JQUERY: true}));
字符串示例来自此处:
https://github.com/cure53/DOMPurify#some-purification-samples-please
并使用此处提到的SAFE_FOR_JQUERY标志:
https://github.com/cure53/DOMPurify#can-i-configure-it
一切都按预期方式记录,即:
<img src="x">
<svg><g></g></svg>
<p>abcdef</p>
<math><mi></mi></math>
<table><tbody><tr><td>HELLO</td></tr></tbody></table>
<ul><li><a href="//google.com">click</a></li></ul>
那很好。
问题
official DOMPurify readme显示了以下导入和使用方式:
// method 01
<script type="text/javascript" src="dist/purify.min.js"></script>
var clean = DOMPurify.sanitize(dirty);
// method 02
require(['dompurify'], function(DOMPurify) {
var clean = DOMPurify.sanitize(dirty);
});
// method 03
npm install dompurify
const createDOMPurify = require('dompurify');
const { JSDOM } = require('jsdom');
const window = (new JSDOM('')).window;
const DOMPurify = createDOMPurify(window);
const clean = DOMPurify.sanitize(dirty);
// method 04
const createDOMPurify = require('dompurify');
const jsdom = require('jsdom').jsdom;
const window = jsdom('').defaultView;
const DOMPurify = createDOMPurify(window);
const clean = DOMPurify.sanitize(dirty);
即使未列出我的实现方式,这仍然是一种安全/有效的方法:
npm install dompurify --save
import DOMPurify from 'dompurify';
PS,如果上下文需要...
实施方案为:
01)用户以跨度开头:
<span class="editable" data-previous_value="here is previously saved value">here is previously saved value</span>
02)单击跨度时,将data-previous_value的值添加到input元素中,该元素替换span。
03)用户修改input元素中的文本,然后单击“保存”。
04)我使用markdown-it,并且html选项设置为false和markdown-it-attrs(添加CSS样式)和markdown-it-span(定义spans)以将任何markdown呈现为html(链接,图像,类,跨度等)。
05)新值被添加到新的span元素(用markdown-it渲染)和data属性(未渲染)中,以替换input元素。
06)未渲染的新值通过MongoDB保存在Node/Express数据库中。
例如,以下输入:
{.video_thumb} [Video](https://www.youtube.com/watch?v=dQw4w9WgXcQ)
转换为以下html:
<span class="editable" data-previous_value="{.video_thumb} [Video](https://www.youtube.com/watch?v=dQw4w9WgXcQ)">
<img src="/img/my_thumb.jpg" alt="img" class="video_thumb">
<a href="https://www.youtube.com/watch?v=dQw4w9WgXcQ">Video</a>
</span>
我正在考虑在DOMPurify到达markdown-it之前(步骤04之前)用i清除输入。
答案 0 :(得分:1)
对于反应:
import DOMPurify from "dompurify";
<div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(dirtyContent) }} />