コンテンツへスキップ
POST AI agent ready /v1/html-sanitize

HTML サニタイザー API - XSS と危険なタグを除去

script、iframe、object タグなどの安全でない HTML 要素を、イベント ハンドラー属性 (onclick、onerror) とともに削除します。 オプションで allowedTags リストを渡して、出力でどのタグを許可するかを正確に制御できます。

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

リッチ テキスト エディターの出力を保存する前にサニタイズする

保存された XSS 攻撃を防ぐために、データベースに保存する前に、WYSIWYG エディター (TinyMCE、Quill、ProseMirror) から HTML をクリーンアップします。

RSS フィード アグリゲーターのクリーンな HTML

外部 RSS フィードの HTML コンテンツをアプリでレンダリングする前にサニタイズして、悪意のあるマークアップが実行できないようにします。

コメント内のユーザーが送信した HTML を処理する

ユーザーがスクリプトや安全でない属性を削除しながら、基本的な HTML (太字、斜体、リンク) でコメントをフォーマットできるようにします。

Frequently asked questions

デフォルトで許可されるタグは何ですか?
デフォルトの許可リストには、共通の書式タグ (p、b、i、strong、em、a、ul、ol、li、br、h1-h6、blockquote、pre、code、img、および table 要素) が含まれています。
データ属性は削除されますか?
はい。 カスタム data-* 属性は、XSS 攻撃のペイロードを運ぶ可能性があるため、デフォルトで削除されます。 標準の安全な属性のみが保持されます。
これは CSS ベースの攻撃に対応しますか?
はい。 式、url()、または動作ディレクティブを含むインライン スタイル属性は削除されます。
出力は XSS セーフであることが保証されていますか?
サニタイザーは OWASP XSS 防止ルールに従い、既知の攻撃ベクトルをすべて除去します。 Content Security Policy ヘッダーと組み合わせることで、強力な XSS 保護を提供します。
埋め込みビデオに iframe を許可できますか?
はい。 allowedTags 配列に「iframe」を追加します。 これをサーバー上のドメイン許可リストと組み合わせて、iframe ソースを YouTube や Vimeo などの信頼できるプロバイダーに制限します。

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs