Pular para o conteúdo
POST AI agent ready /v1/html-sanitize

API HTML Sanitizer - Tira XSS e tags perigosas

Remove elementos HTML inseguros, como script, iframe e tags de objeto, junto com atributos do manipulador de eventos (onclick, onerror). Opcionalmente, você pode passar uma lista AllowTags para controlar exatamente quais tags são permitidas na saída.

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

Limpe a saída do editor de rich text antes do armazenamento

Limpe o HTML dos editores WYSIWYG (TinyMCE, Quill, ProseMirror) antes de salvar em seu banco de dados para evitar ataques XSS armazenados.

Limpe HTML em agregadores de feed RSS

Limpe o conteúdo HTML de feeds RSS externos antes de renderizá-lo em seu aplicativo para que a marcação maliciosa não possa ser executada.

Processar HTML enviado pelo usuário em comentários

Permitir que os usuários formatem comentários com HTML básico (negrito, itálico, links) enquanto eliminam scripts e atributos inseguros.

Frequently asked questions

Quais tags são permitidas por padrão?
A lista de permissões padrão inclui tags de formatação comuns: p, b, i, strong, em, a, ul, ol, li, br, h1-h6, blockquote, pre, code, img e elementos de tabela.
Os atributos de dados são removidos?
Sim. Os atributos data-* personalizados são removidos por padrão, pois podem transportar cargas úteis para ataques XSS. Somente atributos seguros padrão são preservados.
Isso lida com ataques baseados em CSS?
Sim. Atributos de estilo embutido contendo expressões, url() ou diretivas de comportamento são removidos.
A saída é garantida como segura para XSS?
O sanitizador segue as regras de prevenção OWASP XSS e elimina todos os vetores de ataque conhecidos. Combinado com cabeçalhos de política de segurança de conteúdo, fornece forte proteção XSS.
Posso permitir iframes para vídeos incorporados?
Sim. Adicione "iframe" ao array permitidoTags. Combine isso com uma lista de permissões de domínio em seu servidor para restringir fontes de iframe a provedores confiáveis ​​como YouTube ou Vimeo.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs