Aller au contenu
POST AI agent ready /v1/html-sanitize

API HTML Sanitizer - Supprimez les balises XSS et dangereuses

Supprime les éléments HTML dangereux tels que les balises de script, iframe et d'objet, ainsi que les attributs du gestionnaire d'événements (onclick, onerror). Vous pouvez éventuellement transmettre une liste AllowTags pour contrôler exactement quelles balises sont autorisées dans la sortie.

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

Nettoyer la sortie de l'éditeur de texte enrichi avant le stockage

Nettoyez le HTML des éditeurs WYSIWYG (TinyMCE, Quill, ProseMirror) avant de l'enregistrer dans votre base de données pour empêcher les attaques XSS stockées.

Nettoyer le HTML dans les agrégateurs de flux RSS

Nettoyez le contenu HTML des flux RSS externes avant de le restituer dans votre application afin que les balises malveillantes ne puissent pas s'exécuter.

Traiter le HTML soumis par l'utilisateur dans les commentaires

Autorisez les utilisateurs à formater les commentaires avec du HTML de base (gras, italique, liens) tout en supprimant les scripts et les attributs dangereux.

Frequently asked questions

Quelles balises sont autorisées par défaut ?
La liste autorisée par défaut comprend des balises de formatage courantes : p, b, i, strong, em, a, ul, ol, li, br, h1-h6, blockquote, pre, code, img et table elements.
Les attributs de données sont-ils supprimés ?
Oui. Les attributs data-* personnalisés sont supprimés par défaut car ils peuvent transporter des charges utiles pour les attaques XSS. Seuls les attributs de sécurité standard sont conservés.
Est-ce que cela gère les attaques basées sur CSS ?
Oui. Les attributs de style en ligne contenant des expressions, url() ou des directives de comportement sont supprimés.
La sortie est-elle garantie comme étant sécurisée pour XSS ?
Le désinfectant suit les règles de prévention OWASP XSS et supprime tous les vecteurs d'attaque connus. Combiné avec les en-têtes de politique de sécurité du contenu, il offre une forte protection XSS.
Puis-je autoriser les iframes pour les vidéos intégrées ?
Oui. Ajoutez "iframe" au tableau AllowTags. Associez-le à une liste d'autorisation de domaine sur votre serveur pour restreindre les sources iframe aux fournisseurs de confiance comme YouTube ou Vimeo.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs