Sanitizer - 提供了清理不受信任的 HTML 字符串、Document 和 DocumentFragment 对象的方法
这是一个实验中的功能
此功能某些浏览器尚在开发中,请参考浏览器兼容性表格以得到在不同浏览器中适合使用的前缀。由于该功能对应的标准文档可能被重新修订,所以在未来版本的浏览器中该功能的语法和行为可能随之改变。
Sanitizer 是 HTML Sanitizer API 的接口,提供了清理不受信任的 HTML 字符串、Document 和 DocumentFragment 对象的方法。清理后,不需要的元素或属性将被删除,返回的对象可以安全地插入到文档的 DOM 中。
Element.setHTML() 方法也使用 Sanitizer 对象来解析和清理 HTML 字符串,并立即将其插入到元素中。
默认配置在默认情况下去除与 XSS 相关的输入,包括 <script> 标记、自定义元素和注释。
此配置可以使用构造函数选项进行自定义。
构造函数
Sanitizer.Sanitizer
创建并返回一个 Sanitizer 对象,可以选择自定义清理行为。
方法
Sanitizer.sanitizeFor()
在特定元素的上下文中解析 HTML 字符串,并返回包含已清理子树的该类型的 HTML 元素。
Sanitizer.sanitize()
输入一个 Document 或 DocumentFragment,返回经过清理的 DocumentFragment
实例
有关实例,请参见 HTML Sanitizer API 和各个方法。
规范
| 规范 |
|---|
| HTML Sanitizer API # sanitizer-api |
桌面浏览器兼容性
暂无兼容数据