Langsung ke konten
POST AI agent ready /v1/html-sanitize

HTML Sanitizer API - Hapus XSS & Tag Berbahaya

Menghapus elemen HTML yang tidak aman seperti skrip, iframe, dan tag objek, bersama dengan atribut pengendali peristiwa (onclick, onerror). Anda juga dapat meneruskan daftarallowTags untuk mengontrol tag mana yang diizinkan dalam output.

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

Sanitasi keluaran editor teks kaya sebelum disimpan

Bersihkan HTML dari editor WYSIWYG (TinyMCE, Quill, ProseMirror) sebelum menyimpan ke database Anda untuk mencegah serangan XSS yang tersimpan.

Bersihkan HTML di agregator umpan RSS

Sanitasi konten HTML dari umpan RSS eksternal sebelum merendernya di aplikasi Anda sehingga markup berbahaya tidak dapat dijalankan.

Memproses HTML yang dikirimkan pengguna dalam komentar

Izinkan pengguna memformat komentar dengan HTML dasar (tebal, miring, tautan) sambil menghapus skrip dan atribut yang tidak aman.

Frequently asked questions

Tag apa yang diperbolehkan secara default?
Daftar default yang diizinkan mencakup tag pemformatan umum: p, b, i, strong, em, a, ul, ol, li, br, h1-h6, blockquote, pre, code, img, dan elemen tabel.
Apakah atribut data dihapus?
Ya. Atribut data-* khusus dihilangkan secara default karena dapat membawa muatan untuk serangan XSS. Hanya atribut aman standar yang dipertahankan.
Apakah ini menangani serangan berbasis CSS?
Ya. Atribut gaya sebaris yang berisi ekspresi, url(), atau arahan perilaku akan dihapus.
Apakah keluarannya dijamin aman untuk XSS?
Pembersih ini mengikuti aturan pencegahan OWASP XSS dan menghapus semua vektor serangan yang diketahui. Dikombinasikan dengan header Kebijakan Keamanan Konten, ini memberikan perlindungan XSS yang kuat.
Bisakah saya mengizinkan iframe untuk video tersemat?
Ya. Tambahkan "iframe" ke array yang diizinkanTags. Pasangkan ini dengan daftar domain yang diizinkan di server Anda untuk membatasi sumber iframe ke penyedia tepercaya seperti YouTube atau Vimeo.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs