我有一个包含HTML的字符串(来自Markdown),其他人可以提交这些字符串,并将这些字符串作为实际HTML呈现在网页上。
我想从此HTML安全地剥离Javascript的每一部分,无论它是在脚本标记中还是在属性中。
最好/最安全的方法是什么?
答案 0 :(得分:1)
尝试使用safe-html软件包。
基本上,它使用允许的元素和属性的白名单将HTML括起来。使用parse5解析HTML,该parse5使用HTML5解析算法(这意味着它应该以与浏览器相同的方式解析文档)。
希望这会有所帮助!