Ir al contenido
POST AI agent ready /v1/html-sanitize

API de desinfectante HTML: elimine etiquetas XSS y peligrosas

Elimina elementos HTML inseguros como script, iframe y etiquetas de objetos, junto con los atributos del controlador de eventos (onclick, onerror). Opcionalmente, puede pasar una lista de etiquetas permitidas para controlar exactamente qué etiquetas están permitidas en la salida.

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

Desinfectar la salida del editor de texto enriquecido antes del almacenamiento

Limpie el HTML de los editores WYSIWYG (TinyMCE, Quill, ProseMirror) antes de guardarlo en su base de datos para evitar ataques XSS almacenados.

Limpiar HTML en agregadores de feeds RSS

Desinfecte el contenido HTML de fuentes RSS externas antes de renderizarlo en su aplicación para que no se pueda ejecutar el marcado malicioso.

Procesar HTML enviado por el usuario en comentarios

Permita a los usuarios formatear comentarios con HTML básico (negrita, cursiva, enlaces) mientras elimina scripts y atributos inseguros.

Frequently asked questions

¿Qué etiquetas están permitidas por defecto?
La lista de permitidos predeterminada incluye etiquetas de formato comunes: p, b, i, strong, em, a, ul, ol, li, br, h1-h6, blockquote, pre, code, img y elementos de tabla.
¿Se eliminan los atributos de datos?
Sí. Los atributos de datos personalizados-* se eliminan de forma predeterminada, ya que pueden transportar cargas útiles para ataques XSS. Sólo se conservan los atributos seguros estándar.
¿Esto maneja ataques basados ​​en CSS?
Sí. Se eliminan los atributos de estilo en línea que contienen expresiones, URL() o directivas de comportamiento.
¿Se garantiza que la salida sea segura para XSS?
El desinfectante sigue las reglas de prevención OWASP XSS y elimina todos los vectores de ataque conocidos. Combinado con los encabezados de la Política de seguridad de contenido, proporciona una sólida protección XSS.
¿Puedo permitir iframes para vídeos incrustados?
Sí. Agregue "iframe" a la matriz de etiquetas permitidas. Combine esto con una lista de dominios permitidos en su servidor para restringir las fuentes de iframe a proveedores confiables como YouTube o Vimeo.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs