Перейти к содержимому
POST AI agent ready /v1/html-sanitize

HTML Sanitizer API — удаление XSS и опасных тегов

Удаляет небезопасные элементы HTML, такие как скрипты, iframe и теги объектов, а также атрибуты обработчика событий (onclick, onerror). При желании вы можете передать список разрешенных тегов, чтобы точно контролировать, какие теги разрешены в выходных данных.

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

Очистка вывода редактора форматированного текста перед сохранением

Очистите HTML из редакторов WYSIWYG (TinyMCE, Quill, ProseMirror) перед сохранением в базе данных, чтобы предотвратить сохраненные XSS-атаки.

Чистый HTML в агрегаторах RSS-каналов

Очистите HTML-содержимое из внешних RSS-каналов перед его отображением в приложении, чтобы вредоносная разметка не могла быть выполнена.

Обработка HTML-кода, отправленного пользователем в комментариях.

Разрешить пользователям форматировать комментарии с помощью базового HTML (жирный, курсив, ссылки), удаляя при этом скрипты и небезопасные атрибуты.

Frequently asked questions

Какие теги разрешены по умолчанию?
Список разрешений по умолчанию включает общие теги форматирования: p, b, i,strong, em, a, ul, ol, li, br, h1–h6, blockquote, pre, code, img и элементы table.
Атрибуты данных удалены?
Да. Пользовательские атрибуты data-* по умолчанию удаляются, поскольку они могут нести полезную нагрузку для XSS-атак. Сохраняются только стандартные атрибуты безопасности.
Справляется ли это с атаками на основе CSS?
Да. Атрибуты встроенного стиля, содержащие выражения, url() или директивы поведения, удаляются.
Гарантированно ли вывод XSS-безопасен?
Санитайзер следует правилам предотвращения XSS OWASP и удаляет все известные векторы атак. В сочетании с заголовками политики безопасности контента он обеспечивает надежную защиту от XSS.
Могу ли я разрешить использование iframe для встроенных видео?
Да. Добавьте «iframe» в массив разрешенных тегов. Соедините это со списком разрешенных доменов на своем сервере, чтобы ограничить источники iframe доверенными поставщиками, такими как YouTube или Vimeo.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs