防止使用html_sanitize()删除<link></link>

Question

出于安全考虑，我在客户端使用html_sanitize()来清理HTML。但是，不同元素的样式与我在清理之前收到的样式不同。我需要保留标签中的内容，并且我正在尝试弄清楚如何做到这一点。

例如，我收到以下HTML：

<div>
<link href="style.css" rel="stylesheet" type="text/css" />
<script> alert('Blah');</script>
<a class="btn-active"></a>
</div>

和html_sanitize(bodyHtml，urlX，idX)；返回：

<div>
<a class="btn-active"></a>
</div>

理想情况下，我希望保持链接标记与其他所有内容相同。就像这样。

<div>
<link href="style.css" rel="stylesheet" type="text/css" />
<a class="btn-active"></a>
</div>

我一直在到处寻找解决方案，但我找不到，我也看了文档，实现了一个自定义策略，但即使这样我也不能控制脚本标签不被删除。

有没有办法做到这一点？

Answer 1

根据documentation，你可以这样做：

// Allow only a super restricted set of tags and attributes
clean = sanitizeHtml(dirty, {
  allowedTags: [ 'link' ],
  allowedAttributes: {
    'link': [ 'href','rel','type' ]
  }
});

使用dirty = document.documentElement.innerHTML; (例如)。

当然，您必须通过clean更改dirty来完成这项工作：

document.documentElement.innerHTML = clean;