Zum Inhalt springen
POST AI agent ready /v1/html-sanitize

HTML Sanitizer API – Entfernen Sie XSS und gefährliche Tags

Entfernt unsichere HTML-Elemente wie Skript-, Iframe- und Objekt-Tags sowie Event-Handler-Attribute (onclick, onerror). Sie können optional eine Liste „allowedTags“ übergeben, um genau zu steuern, welche Tags in der Ausgabe zulässig sind.

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

Bereinigen Sie die Ausgabe des Rich-Text-Editors vor der Speicherung

Bereinigen Sie HTML aus WYSIWYG-Editoren (TinyMCE, Quill, ProseMirror), bevor Sie es in Ihrer Datenbank speichern, um gespeicherte XSS-Angriffe zu verhindern.

Bereinigen Sie HTML in RSS-Feed-Aggregatoren

Bereinigen Sie HTML-Inhalte aus externen RSS-Feeds, bevor Sie sie in Ihrer App rendern, damit schädliches Markup nicht ausgeführt werden kann.

Verarbeiten Sie vom Benutzer übermitteltes HTML in Kommentaren

Ermöglichen Sie Benutzern das Formatieren von Kommentaren mit einfachem HTML (Fett, Kursiv, Links) und entfernen Sie gleichzeitig Skripte und unsichere Attribute.

Frequently asked questions

Welche Tags sind standardmäßig zulässig?
Die Standard-Zulassungsliste enthält gängige Formatierungs-Tags: p, b, i, strong, em, a, ul, ol, li, br, h1-h6, blockquote, pre, code, img und Tabellenelemente.
Werden Datenattribute entfernt?
Ja. Benutzerdefinierte data-*-Attribute werden standardmäßig entfernt, da sie Nutzlasten für XSS-Angriffe übertragen können. Es bleiben nur standardmäßige sichere Attribute erhalten.
Bewältigt dies CSS-basierte Angriffe?
Ja. Inline-Stilattribute, die Ausdrücke, URL() oder Verhaltensanweisungen enthalten, werden entfernt.
Ist die Ausgabe garantiert XSS-sicher?
Das Desinfektionsmittel folgt den OWASP-XSS-Präventionsregeln und entfernt alle bekannten Angriffsvektoren. In Kombination mit Content Security Policy-Headern bietet es starken XSS-Schutz.
Kann ich Iframes für eingebettete Videos zulassen?
Ja. Fügen Sie „iframe“ zum Array „allowedTags“ hinzu. Kombinieren Sie dies mit einer Domain-Zulassungsliste auf Ihrem Server, um Iframe-Quellen auf vertrauenswürdige Anbieter wie YouTube oder Vimeo zu beschränken.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs