跳转到内容
POST AI agent ready /v1/html-sanitize

HTML Sanitizer API - 去除 XSS 和危险标签

去除不安全的 HTML 元素,如脚本、iframe 和对象标记,以及事件处理程序属性(onclick、onerror)。 您可以选择传递 allowedTags 列表来准确控制输出中允许哪些标签。

Parameters

stringrequired

The HTML content to sanitize.

array

Whitelist of HTML tag names to allow. Tags not in this list are removed. If omitted, a safe default set is used.

Code examples

curl -X POST https://api.botoi.com/v1/html-sanitize \
  -H "Content-Type: application/json" \
  -d '{"html":"<p>Hello</p><script>alert(\"xss\")</script><img onerror=\"steal()\" src=\"x\">","allowedTags":"p,b,i,a,ul,ol,li,br,strong,em"}'

When to use this API

在存储之前清理富文本编辑器输出

在保存到数据库之前,从所见即所得编辑器(TinyMCE、Quill、ProseMirror)中清理 HTML,以防止存储的 XSS 攻击。

RSS 提要聚合器中的干净 HTML

在将外部 RSS 源中的 HTML 内容呈现到应用程序中之前对其进行清理,以便恶意标记无法执行。

处理用户在评论中提交的 HTML

允许用户使用基本 HTML(粗体、斜体、链接)设置注释格式,同时去除脚本和不安全属性。

Frequently asked questions

默认允许哪些标签?
默认允许列表包括常见格式标记:p、b、i、strong、em、a、ul、ol、li、br、h1-h6、blockquote、pre、code、img 和 table 元素。
数据属性是否被删除?
是的。 默认情况下,自定义 data-* 属性会被删除,因为它们可以携带 XSS 攻击的有效负载。 仅保留标准安全属性。
这可以处理基于 CSS 的攻击吗?
是的。 包含表达式、url() 或行为指令的内联样式属性将被删除。
输出是否保证 XSS 安全?
该清理程序遵循 OWASP XSS 预防规则并消除所有已知的攻击向量。 与内容安全策略标头相结合,它提供了强大的 XSS 保护。
我可以允许嵌入视频使用 iframe 吗?
是的。 将“iframe”添加到 allowedTags 数组中。 将此与服务器上的域允许列表配对,以将 iframe 源限制为受信任的提供商(例如 YouTube 或 Vimeo)。

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs